前 一 段 时 间 跟 吴 航 在 微 博 上 私信 聊天 ， 他 说 正在 写 一 本 iOS 方 


Т. 


我 认识 吴 航 是 在 2011 生 


Hr 


Еф 


投入 太 多 关注 ， 恰 好 吴 航 本 人 也 想 出 去 做 


在 那 大 
都 能 达成 。 我 印象 深 刻 的 有 两 件 导 


的 


， 我 认识 到 iOS 


F9 月 ， 当 时 安全 管家 在 找 iOS 
身 的 安全 性 非常 好 ， 在 非 越 狱 的 OS 上 我 们 能 做 的 关于 
己 的 事情 ， 于 是 我 支持 了 他 的 决定 。 


年 的 接触 中 ， 我 发 现 吴 航 是 个 难得 的 技术 人 才 ， 在 技术 的 钻研 
有 ， 第 一 件 是 在 开发 越狱 版 安全 管家 时 ， 由 
较 紧 的 开发 周期 ， 希 望 在 较 短 的 时 间 内 开发 出 越狱 版 安全 管家 的 原型 。 吴 航 的 压力 不 小 ， 他 接连 几 个 月 都 在 
终于 在 既定 的 时 间 内 完成 ， 这 让 我 看 到 了 吴 航 不 仅 不 惧 困 


崩溃 ， 我 就 反馈 给 了 吴 航 。 虽 然 只 是 小 概率 事件 ， 但 他 亲 


ка 


虽然 我 不 做 开发 很 多 年 


发 高 手 ， 吴 和 


WE, MBBS RE. 55—69 


白 


反复 高 强度 测试 ， 细 致 


这 本 书 能 够 带 给 大 家 实 实在 在 的 干货 ， 


FF 了， 但 是 至 今 仍 忘 不 了 年 


F 轻 时 作为 一 个 工程 师 ， 非 常 渴望 与 更 高 水 平 的 人 交流 ， 
让 大 家 都 能 在 技术 的 道路 再 攀高 峰 。 


上 有 股子 狠 劲 ， 拥 有 丰富 的 开发 实战 经 验 ， 又 善于 利 
于 这 方面 官方 公开 的 资料 几乎 没有 ， 很 多 涉及 系统 底 
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书 ， 我 让 他 书 出 来 的 时 候 送 一 本 给 我 。 之 后 他 在 私信 上 跟 我 说 书写 完了 ， 让 我 给 


讽 作为 我 们 安全 管家 iOS 开 发 组 的 第 一 个 工程 师 进来 了 ， 他 和 我 们 从 零 开始 搭建 iOS 


写 个 序 ， 我 当即 表示 “压力 山大 ”， 但 还 是 欣然 答应 


团 


安全 的 事情 并 不 多 ， 而 越狱 行为 本 身 就 是 一 个 最 大 的 安全 风险 ， 是 


队 ， 并 着 手 安 全 管家 越狱 版 的 开发 。 到 了 2012 年 
户主 动 选择 的 结果 ， 跟 我 们 


各 种 


问题 ， 因 此 在 他 带 


团 


层 的 开 


工具 解决 


队 的 


身 的 安全 理念 不 符 ， 因 此 无 须 


时 候 ， 评 估 出 来 的 开发 进度 基本 上 


发 ， 需 要 自己 摸 着 石头 过 河 


， 并 得 


究 系统 底层 ， 向 各 路 高 人 : 


是 在 开发 App Store 版 安全 管家 时 ， 有 个 版 本 在 我 | 
岂 排 查 代码 ， 最 终 揪 出 了 导致 这 个 问题 的 内 存 : 


ЕЗ 


5 


请 教 ， 通 过 Google 找 寻 | 


网 站 上 的 资料 ， 没 日 没 夜 地 想 办 法 ， 
的 手机 上 在 不 同 页 面 间 快 速 切换 时 会 有 极 小 的 概率 导致 安全 管家 


尝试 。 当 时 我 们 制定 了 一 个 比 
后 来 


推荐 序 二 


指针 Bug， 这 足见 其 严谨 的 技术 态 
希望 聆听 高 手 们 实战 经 验 分 享 的 情景 。 吴 航 愿 意 把 他 的 


度 和 对 质量 高 标准 的 追求 。 


经 验 总 结 成 书 ， 是 广大 iOS 开 发 者 的 福音 ， 


赵 岗 


安全 管家 创始 人 


In our lives,we pay very little attention to things that work.Everything we interact with hides a fractal of complexity 一 hundreds of smaller components,all of which serve а vital 


role,each disappearing into its destined form and function.Every day,millions of people take to the streets with phones in their hands,and every day hardware,firmware,and software blend 


into one contiguous mass of games,photographs,phone calls,and text messages. 


It holds,then,that each component retains leverage over the others.Hardware owns firmware,firmware loads and reins in software,and software in turn directs hardware.If you could 


take control of one of them,could you influence a device to enact your own desires? 


iOS 8 App Reverse Engineering provides a unique view inside the software running on iOSTM,the operating system that powers the Apple iPhone®and iPad®.Within,you will learn what 


makes up application code and how each component fits into the software ecosystem at large.You will explore the hidden second life your phone leads,wherein it is a full-fledged 


computer and software development platform and there is no practical limit to its functionality. 


So, young developer,break free of restricted software and find out exactly what makes your iPhone tick! 


各 


(在 生活 中 ,我们 经 常会 忽略 许多 习以为常 的 
自 的 岗位 上 发 挥 着 不 可 蔡 代 的 关键 作 


一 一 电话 和 短信 。 


在 一 个 巴掌 大 的 手机 里 ， 各 个 组 件 之 间 的 关系 错综复杂 ， 互 相 影 
机 听命 于 你 了 吗 ? 但 App Store 的 插手 ， 又 为 你 对 它们 的 控制 加 上 了 重 


本 书 从 独特 的 角度 剖析 iOS 应 | 
的 那样 有 限 ， 确 切 地 说 ， 它 是 一 台 功能 齐全 的 计算 机 ， 在 它 的 “号 


转眼 ， 本 书 第 1 版 
因为 大 家 的 努力 ， 才 使 得 该 技术 得 到 发 


出 水 


广泛 


交流 ， 也 意识 到 第 1 版 存在 
更 多 细节 ， 配 备 了 更 多 的 例 


Hr 


AR 


їй. 3 
。 现 代 生 活 中 ， 智 能 手机 已 经 成 了 我 们 每 天 必 不 可 少 的 工具 ， 通 过 硬件 、 软 件 和 


向 。 硬 件 为 固 
重 阻力 。 


会 从 比 App Store App 更 低 一 级 的 深度 去 了 解 软件 的 各 个 组 件 在 构造 整个 软件 时 起 到 的 作 | 
， 一 切 儿 有 可 能 。 


m" g 


F 轻 的 开发 者 ， 从 这 里 开始 打破 App Store 的 限制 ， 重 新 认识 真正 的 Phone 吧 ! ) 


面世 已 经 快 1 


FEF 了， 在 这 一 年 里 ， 


件 的 运行 提供 支撑 平台 ， 


[E] 


[&] 


件 掌管 软件 ， 而 软件 又 
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Tent 


E 


uns 


ЕВ 


条 着 盘古 、 太 极 等 国 


苹果 构建 的 封闭 
， 让 我 们 拭目以待 。 


H, 


内 越狱 团 


为 有 大 家 的 认可 与 推广 ， 本 书 得 到 了 广泛 关注 。 与 此 同时 ，iOS 逆 向 


展 ， 而 我 们 作者 团 


队 的 横 空 出 世 ， 以 及 各 种 第 三 方 市 场 的 蓬勃 发 
系统 正在 出 现 一 条 条 和 裂 颖 。 不 管 是 进攻 还 是 防守 ， 都 离 不 开 iOS 逆 向 工程 技术 的 使 有 


自 本 书 第 1 版 上 市 后 ， 


屿 憾 和 不 足 ， 例 如 讲解 不 够 细致 ， 术 多 道 少 等 
子 ， 增 加 了 “ 道 ” 的 分 量 ， 比 第 1 版 的 逻辑 性 更 强 ， 更 易 读 了 。 在 升级 版 中 ， 我 们 尝试 从 抽象 的 逆向 工程 中 抽 离 出 一 个 通 


队 也 贡献 了 一 点 力量 ， 甚 感 欣慰 ! 


工程 也 在 | 


展 ，iOS 技 术 层面 的 较量 已 经 从 App 开 发 转向 


， 影 响 了 书 的 可 读 性 。 


RERA; 


实 上 ， 那 些 我 们 每 天 都 与 之 打交道 的 东西 ， 往 往 都 昔 含 了 一 种 “复杂 ”的 美感 一 一 它们 由 成 百 上 和 干 的 微小 组 件 构成 ， 各 个 微小 组 件 各 司 其 职 ， 在 
件 协同 合作 ， 它 为 我 们 带 来 了 好 玩 的 游戏 、 有 趣 的 照片 ， 以 及 便利 的 沟通 渠道 


回 过 头 来 调度 硬件 。 如 果 你 能 控制 它们 之 中 的 哪怕 一 个 ， 不 就 可 以 让 手 


会 由 此 发 现 手机 的 “里 世界 ”一 一 它 的 能 力 远 不 止 App Store 所 许可 


Dustin L.Howett 


iPhone Tweak 开 发 者 


蝴 着 WireLurker 等 病毒 的 出 现 ， 一 些 深 藏 不 露 的 安全 
。 在 可 以 预见 的 未 来 ， 苹 果 将 进入 恶意 软件 重度 防御 时 代 [1，iOS 逆 向 工程 的 应 


响 一 直 不 错 ， 京 东 等 各 大 网 店 的 好 评 率 高 达 95% 以 上 。 随 着 iOS 8 的 发 布 ， 我 们 清楚 地 意识 到 第 1 版 的 内 容 已 经 


再 适合 最 新 | 


因此 ， 在 即将 推出 全 新 升级 的 《iOS 应 有 


逆向 工程 》 里 ， 不 但 全 


Hi 


内 iOS 开 发 者 圈子 里 “漫延 ” 开 来 ， 并 达到 了 前 所 未 有 的 高 度 ， 正 是 


问题 也 开始 浮 
一 定 会 越 来 越 


0105 8。 同 时 根据 一 年 多 以 来 跟 大 家 不 断 的 沟通 和 
支持 iOS 8， 还 大 幅 更 新 了 章节 内 容 ， 涵 盖 


的 方法 论 ， 试 


图 


传递 给 大 家 一 种 逆向 工程 的 思想 ， 而 不 


仅仅 是 工 


的 使 用 。 


本 书 第 1 版 上 


之后， 我 曾 把 书 的 目录 和 内 容 框架 发 布 到 国 


美国 籍 、 


1 位 加 拿 大 籍 、1 位 阿根廷 籍 、 


1 位 丹麦 籍 ) 审核 ， 全 球 iOs 逆 向 工程 社 | 


去 ! ”虽然 离 这 个 目标 还 


得 很 远 ， 但 我 已 经 在 朝 这 个 目标 努力 迈进 了 ， 不 是 么 ? 


[1] http://www.feng.com/Story/2015-Apple-will-enter-the-era-of-malware-severe-defense_602029.shtml. 
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里 ， 航 哥 曾 提 到 我 夺 下 的 海口 : 


际 iOS 越 狱 社区 上 ， 得 到 了 非常 正面 的 反馈 ， 包 括 Cydia 的 作者 saurik、OSX 著 名 研究 员 fG!、Theos 作 者 DHowett 等 国际 一 线 开发 者 均 对 本 书 
表示 了 浓厚 的 兴趣 ， 这 也 让 我 萌生 了 让 该 书 走向 国际 的 想法 。 在 整理 这 一 版 时 ， 我 与 编辑 沟通 了 该 想法 ， 没 想到 还 真 促成 了 此 事 。 国 际 版 将 由 美国 CRC 出 版 社 在 全 球 出 版 发 行 ， 由 8 位 国外 知名 胡 
区 对 国际 版 寄予 了 厚望 。 在 第 1 版 的 前 言 时 


究 员 (5 位 


“ 弟 的 目标 远大 ， 要 玩 就 朝 着 国际 一 线 大 牛 的 目标 


的 是 ， 在 开始 这 段 旅程 前 ， 我 就 需 


我 是 一 个 热爱 自助 旅游 的 人 。 在 大 学 的 每 个 寒暑 假 ， 我 都 会 抽出 7~ 10 天 的 时 间 ， 挑 选中 国 的 一 个 地 方 当 一 次 背包 客 。 因 为 是 自助 游 ， 没 有 导游 帮 你 安排 好 一 切 ， 所 以 在 出 行 前 ， 我 和 同伴 需要 花费 不 少 
时 间 制 订 计划 、 确 认 路 线 、 购 买 车 票 ， 考 虑 路 上 可 能 出 现 的 状况 ， 并 思考 对 策 。 都 说 旅游 能 够 开阔 眼界 ， 自 助 游 尤其 如 此 一 一 在 路 上 见 到 的 人 和 事 让 我 增长 见识 ， 更 重 
要 对 旅程 中 的 点 点 滴 滴 有 所 准备 一 一 当 身 体 还 站 在 起 点 时 ， 我 的 头脑 就 已 经 到 达 终 点 了 ， 这 种 思维 方式 对 全 局 观 的 培养 是 有 利 的 ， 也 让 我 在 思考 其 他 问题 时 形成 了 从 长 计 议 的 思维 方式 。 


因此 在 2009: 


生 ， 如 果 我 继续 从 事 Windows 的 研究 ， 


攻读 硕士 研究 生前 ， 我 就 曾 深入 思考 过 


己 想 要 从 事 的 研究 方向 。 我 学 习 的 是 计算 机 专业 ， 而 从 本 科 开 始 ， 身 边 绝 大 部 分 同学 的 研究 平台 是 Windows。 作 为 一 名 动手 能 力 并 不 强 的 普通 学 


有 两 点 好 处 : 


“ 这 个 方向 有 海量 成 熟 资料 ， 我 的 学 习 之 路 上 不 会 缺少 参照; 


“ 研究 人 数 众多 ， 碰 到 问题 可 以 请 教 讨论 的 人 比比 辟 是 。 


但 是 ， 从 另 一 个 侧面 来 看 ， 这 两 点 “好 处 ”也 并 非 有 百 利 而 无 一 害 : 


Шш 


ВАНИЕ E, ERARAS MEGAN “AK” ; 


“ 研究 人 数 越 多 ， 
总 的 来 说 ， 如 果 我 从 


幸运 的 是 ， 我 的 想法 与 导师 的 如 出 一 弧 。 他 推荐 我 选择 当时 国 
了 。 但 是 ， 导 师 是 我 仔细 分 析 所 有 硕士 生 导师 特点 ， 与 数 名 学 长 交换 意见 之 后 谨慎 挑选 的 师 从 对 象 ， 他 的 判断 本 身 就 含有 我 的 


Ж» 


着 竞争 压力 越 大 。 


有 Windows 相 关 的 工作 ， 起 步 会 很 顺利 ， 但 后 续 难 保 不 被 淹没 在 人 海里 ， 如 果 另 寻 他 路 ， 入 门 会 很 辛苦 ， 但 坚持 下 去 或 能 独辟蹊径 。 


内 “小 荷 才 露 尖 尖 角 ”的 移动 开发 方向 ， 而 我 在 这 之 前 一 直 使 


的 是 一 款 飞 利 浦 蓝 
Br, 


ЧЕ 
= 


手机 ， 对 智能 手机 毫 无 概念 ， 更 别 说 在 上 面 开 发 软件 
因此 ， 我 相信 这 个 判断 ， 于 是 开始 搜寻 移动 开发 的 相关 资料 。 仅 仅 是 了 


解 了 一 些 移动 互联 网 和 智能 手机 的 概念 ， 我 就 隐隐 发 现 ， 这 个 行业 顺应 了 人 们 对 计算 机 和 互联 网 更 小 、 更 快 ， 与 生活 融合 更 紧 的 历史 发 展 趋势 ， 一 定 大 有 作为 ， 遂 将 研究 方向 定 为 ijOS。 


万 事 开头 难 ，iOS 与 我 熟悉 的 Windows 有 着 太 多 太 多 的 不 同 : 类 UNIX、 完 整 的 生态 系统 、 全 封闭 、Objective-C 语 言 ， 还 有 对 我 影 


料 ， 有 半年 多 近 一 年 的 时 间 ， 我 折腾 黑 苹果 的 时 间 要 以 星期 为 
ALS; 对 iOS 上 似 UNIX 非 UNIXI 
K 歌 、 打 牙 祭 时 ， 我 一 个 人 问 在 宿舍 里 对 着 电脑 哺 代 码 ; 当 同 学 人 


的 东西 (Я 


了 最 后 ， 


希望 的 导师 的 高 度 评价 一 一 “从 以 前 自我 感觉 良好 的 优越 感 变 成 了 肚 里 有 货 后 的 真正 自信 ”， 


因为 内 在 的 充实 ， 就 不 再 会 


后 台 运 行 ) AEEGoogle, 


感受 到 外 在 的 孤独 了 。 男 人 因 孤 独 而 优秀 ， 付 出 一 定 会 有 回报 一 一 经 过 一 全 
义 、 每 一 行 的 关系 都 变 得 清楚 了 ， 零 散 的 知识 点 在 我 的 脑袋 里 被 连 成 了 线 ， 整 个 体系 的 逻辑 慢 慢 清晰 了 。 于 是 我 快马加鞭 ， 在 2011 征 


展 败 展 战 。 当 同学 们 都 发 表 了 第 一 篇 小 论文 时 ， 我 甚至 没 明确 


向 最 深 的 “越狱 ” 


F 多 的 


这 标志 着 我 对 iOS 研 究 


的 正式 入 门 。 明 白 自 己 在 做 什么 , 


， 这 一 切 的 一 切 在 当时 几乎 找 不 到 完整 的 参考 资 

位 。 我 硬 着 头皮 把 《Objective-C 基 础 教程 》 上 宛如 天 书 一 般 的 Objective-C 代 码 敲 入 Xcode， 然 后 运行 模拟 器 看 效果 ， 但 代码 和 画面 完全 对 
己 这 个 月 究竟 在 干什么 ， 我 缺乏 太 多 的 基础 知识 ; 当 同 学 们 周末 出 去 
] 身 在 床上 有 睡懒觉 时 ， 我 一 个 人 一 大 早 怜 起 来 去 实验 室 加 班 。 一 个 人 是 孤独 的 ， 但 这 种 孤独 换 来 的 是 学 识 的 积累 ， 从 而 转化 成 内 心 的 笃定 ， 到 


合 ， 在 2011 年 3 月 的 一 天 ， 以 前 星 涩 难 懂 的 代码 突然 变 得 平易 近 人 了 ， 每 一 句 的 含 
4 月 初 完成 了 毕业 设计 的 程序 雏形 ， 并 得 到 了 当时 对 此 方向 并 不 抱 太 大 
后 ， 就 能 有 的 放 矢 ， 研 究 效率 呈 几 何 倍率 提高 一 一 在 


这 两 年 里 ， 我 知道 了 Theos 从 而 “勾搭 ”上 了 作者 DHowett， 向 Activator 的 作者 rpetrich 讨 教 过 问题 ， 跟 TheBigBoss 源 的 管理 员 Optimo 发 生 过 争执 ， 他 们 是 我 这 一 路 走 来 帮 有 我 解决 实际 问题 最 多 的 朋友 ; 


开发 SMSNinja 的 过 程 中 结识 了 本 书 另 一 作者 航 哥 ， 在 不 断 深入 研究 的 同时 认识 了 一 票 做 人 低调 、 办 村 


高 调 的 高 手 ， 意 识 到 


己 并 不 孤单 一 一 我 们 孤胆 ,我 们 并 肩 。 


在 本 书 即将 出 版 的 时 候 回 望 这 5 年 ， 我 不 禁 庆 幸 自己 当初 的 选择 是 正确 的 。 在 iOS 方 向 5 年 的 积淀 就 足够 出 一 本 书 ， 这 在 Windows 方 向 是 不 可 想象 的 ， 而 Apple、Google 和 Microsoft 三 大 巨头 的 不 断 发 


力 和 市 场 


在 受到 航 哥 的 邀请 写作 本 书 时 ， 我 是 有 些 犹 殉 的 。 中 国 
地 培养 出 更 多 “竞争 对 手 ”? 这 么 做 是 不 是 把 自己 的 优势 拱手 相让 了 ? 但 是 纵 观 越狱 \OS 的 发 展 历史 ， 从 基本 
我 影响 最 为 深远 的 软件 无 一 不 是 开源 的 ， 正 是 
天 下 ， 让 更 多 的 爱好 者 参与 越狱 和 OS 生态 环境 


馈 也 直接 证 明了 这 个 行业 一 定 会 是 下 一 个 互联 网 


十 年 的 绝对 主角 ， 能 够 亲眼 见证 并 参与 其 中 ， 我 三 生 有 幸 。 人 生 苦 短 ， 必 须 果 敢 ， 所 以 ， 少 生 


AL 


众多 ， 各 行 各 业 竞 争 都 很 激烈 ， 


的 Cydia 和 CydiaSubstrate， 到 Theos 这 样 的 
为 这 些 大 牛 分 享 了 自己 的 “优势 ”， 我 才能 博采众长 、 逐 渐 成 长 ; rpetrich 牵 头 的 tweakweek 和 posixninja 牵 头 的 openjailbreak 也 都 把 宝贵 的 独门 秘籍 大 白 


FF， 不 要 犹 移 了 ， 快 到 碗 里 来 吧 ! 


自己 走 了 那么 多 弯路 ， 碰 了 N 鼻 子 灰 才 总 结 提 炼 出 的 这 些 知识 ， 一 股 脑 儿 全 都 交代 出 去 了 ， 会 不 会 有 意 无 意 


的 建设 。 他 们 是 这 个 圈 


子 里 的 一 线 


发 者 ， 他 们 


的 优势 完全 没有 因为 “分 享 ”而 减少 。 


发 利器 ， 


再 到 Activator 这 样 的 神 级 插件 ， 这 些 对 


这 个 分 享 链条 的 人 ， 怎 么 能 在 小 有 所 成 之 后 就 过 河 拆 桥 ， 


断 掉 我 这 一 环节 呢 ? 况且 ， 我 是 打算 在 这 条 路 上 继续 求索 的 ， 如 果 我 不 停 下 ， 我 的 优势 就 会 一 直 保持 一 -我 的 竞争 对 手 只 有 我 自己 。 相 信 我 们 的 分 享 会 帮 到 很 多 和 当年 的 我 一 样 在 门 外 苦 苦 徘徊 的 开发 者 ， 


集 大 家 智慧 创造 出 的 作品 能 够 更 好 


BIRR Y (RA, fier; 


也 让 科技 服务 于 人 ， 而 且 我 也 能 结交 更 多 志 同 


骨 ， 但 这 也 正 是 我 对 待 科学 技术 的 态度 。 本 书 的 内 容 适 合 


内 绝 大 多 数 不 满 足 于 折 


App Store 


道 合 的 朋友 ， 精 神 生活 得 到 更 大 满足 。 这 也 聊 可 算 作 是 从 长 计 议 吧 。 


的 iOS 爱 好 者 ， 通 篇 干货 ， 


多 后 续 的 内 容 ， 还 请 关注 本 书 的 官方 论坛 http://bbs.iosre.com 和 官方 微 博 @iOS 应 用 逆向 工程 。 让 我 们 一 起 提升 中 国 iOS 开 发 者 在 国际 上 的 地 位 ! 


在 这 里 ， 我 要 感 澳 母 亲 对 我 对 
让 我 在 硕士 3 年 经 历 脱 胎 换 骨 的 成 长 ; 
jerryxjtu、 漏 网 之 鱼 、Proteas 等 前 辈 对 本 
心 一 意 地 学 习 知识 ， 本 书稿 费 啊 有 我 的 一 半 也 有 你 的 一 半 。 


们 一 声 “ 对 不 起 ” 


有 业 的 全 力 支持 ， 使 我 在 钻研 学 术 之 时 能 尽 可 能 少 地 


， 感 谢 你 们 对 我 的 成 全 。 


最 后 跟 大 家 分 享 一 首 我 喜爱 的 诗 ， 


未 选 之 路 


罗伯特 ， 弗 罗斯 特 中 
黄色 的 树林 里 分 出 两 条 路 ， 
可 惜 我 不 能 同时 去 涉足 ， 
我 在 那 路 口 久久 位 立 ， 


啊 ， 人 生 ! 多 么 奇妙 。 


童 奥 无 欣 ， 比 我 的 硕士 毕业 论文 要 实在 得 多 。 更 


正事 分 心 。 感 澳 我 的 爷爷 为 我 的 英语 启蒙 ， 
感谢 DHowett、rpetrich 和 Optimo 等 大 牛 对 我 的 无 私 帮助 和 尖锐 批评 ， 让 我 在 快速 成 长 的 同 
书 的 审核 与 建议 ， 和 对 我 这 个 初学 者 的 点 拨 ; 感谢 我 的 家 人 和 朋友 们 ， 你 们 的 支持 与 鼓励 
业 、 亲 情 、 友 情 、 爱 情 是 我 等 凡人 的 毕生 追求 ， 但 往往 


Ab 
只 能 


良好 的 英语 素养 是 跟 国际 同行 交流 的 必 


条 件 ; 感谢 我 的 导师 授 我 以 渔 ， 


为 这 个 原 


而 有 意 、 


时 认识 到 差距 巨大 ， 不 敢 懈 念 ;感谢 念 茜 、flyingbird、INT80、 
是 我 前 进 下 去 的 不 音 动 力 ; 还 要 感谢 我 未 来 的 女 朋 友 ， 你 的 缺席 让 能 我 一 
求 二 争 三 ， 不 可 四 者 兼 得 ， 


FASIL, HEIA, RRR 


我 向 着 一 条 路 极目 望 去 ， 


直到 它 消失 在 丛林 深 


处 。 


但 我 却 选 了 另外 一 条 路 ， 


CREFF, TIAR; 


显得 更 请 人 、 更 美丽 
虽然 在 这 两 条 小 路 上 
都 很 少 留 下 旅人 的 足 


> 


> 


迹 。 


虽然 那天 清晨 落叶 满 地 ， 


两 条 路 都 未 见 脚印 疹 
呵 ， 留 下 一 条 路 等 改 
但 我 知道 路 径 延绵 无 
Ж h REA 


也 许多 少年 后 在 某 个 
我 将 轻声 叹息 把 往事 


Ж, 
日 再 见 ! 


尽头 ， 


地 方 ， 


回顾 : 


一 片 树林 里 分 出 两 条 路 ， 


而 我 选 了 人 迹 更 少 的 
从 此 决定 了 我 一 生 的 


[1] Robert Frost (1874—1963) ，20 世 纪 美 国 最 受 欢迎 的 诗人 之 一 、 


为 什么 要 写 这 本 书 


两 年 前 我 正式 从 传统 网 络 设备 行业 转行 进入 移动 互联 网 行业 ， 当 时 正 是 移动 应 用 开发 市 场 最 火爆 的 


一 条 ， 


道路 。 


前 


拿 到 干 万 级 投资 ,高价 控 人 组 队 的 信息 更 是 让 人 眼花 练 乱 。 那 时 我 已 经 开发 了 几 个 颇具 难度 的 企业 应 


安全 管家 (北京 安 管 佳 科 


技 有 限 公司 ) 


， 从 零 开 始 搭建 i0S 团 队 ， 负 责 包 括 越狱 方向 在 内 的 iOS 开 发 。 


其 实 iOS 越 狱 开发 的 


础 就 是 iOS 逆 向 工程 ， 那 个 时 候 我 并 没有 这 方面 的 经 验 ， 殖 


发 和 逆向 工程 并 不 是 一 个 完全 隔离 的 世界 ， 虽 然 被 分 享 出 来 的 都 是 零 零散 散 甚至 重复 度 很 高 的 知识 ， 但 是 只 要 投入 大 量 精力 ， 把 知识 归纳 总 结 ， 慢 慢 可 以 整理 出 一 幅 完 整 的 图 谱 。 


然而 独自 一 人 学 习 的 


过 程 是 孤独 的 


， 尤 其 是 遇见 困难 和 问题 无 人 交流 ， 让 人 一 筹 莫 展 。 每 次 一 个 人 打下 所 有 问题 的 时 候 ， 总 是 感叹 : 


Ll} 


四 度 普 利 策 奖 得 主 。 本 篇 为 其 代表 诗作 ， 原 题 为 “The Road Not Taken” o 


时 候 ， 创 业 公司 如 雨 


( 谨 以 此 书 纪念 我 已 仙 逝 的 外 祖父 刘 汉 民 、 和 祖母 吴 朝 玉 ) 


编辑 注 


类 App， 对 了 


向 的 是 一 个 完全 未 知 的 领域 ， 不 过 好 在 有 Google， 国 


内 国 


外 的 信息 多 少 还 是 能 够 搜 到 点 ， 而 且 对 于 iOs 开 发 者 ， 越 狱 


沙 梓 社 (snakeninny) 


后 春笋 般 的 成 立 ， 尤 其 社交 类 App 更 是 大 受 追 摊 ， 只 要 有 一 个 不 错 的 构想 就 可 能 
那些 轻 量 级 的 普通 社交 App 不 是 太 看 得 上 ， 想 着 要 玩 点 比较 酷 的 技术 ， 机 缘 巧 合 进入 了 


是 有 一 个 水 平 不 错 的 交流 者 该 是 多 么 幸福 ?虽然 也 可 以 给 Ryan 


Petrich 等 一 线 大 牛 发 邮件 请 教 ， 但 很 多 在 我 们 看 来 当时 解决 不 了 的 难题 在 这 类 高 手眼 中 很 可 能 就 是 个 低级 问题 ， 不 苦心 钻研 一 番 根 本 不 好 意思 去 问 。 这 个 阶段 大 概 持 续 了 有 大 半年 ， 直 到 2012 年 在 微 博 上 遇 
到 本 书 的 另 一 作者 snakeninny， 那 时 他 还 是 一 个 面临 毕业 的 研究 生 ， 整 天 “不 务 正业 ”地 研究 iOS 底 


去 呢 ? ”他 说 : “第 的 目标 远大 ， 要 玩 就 朝 着 国际 一 线 大 牛 的 目标 去 ! " 


小 兄弟 ， 你 够 狠 ! 


层 ， 而 且 研 


ZB 


RIF: 


还 相当 有 深度 。 我 曾 和 他 提 过 : 


“你 看 ， 有 多 少 人 都 投入 到 App 领 域 捞 钱 去 了 ， 你 咋 不 


不 过 ， 多 数 时 候 我 们 都 是 自己 在 折腾 ， 只 是 偶尔 在 网 上 交流 一 下 问题 及 解决 方法 ， 但 往往 能 碰撞 出 一 些 有 价值 的 内 容 。 在 一 起 合 写本 书 之 前 ， 我 们 曾经 合作 逆向 分 析 过 陌 陌 ， 做 了 一 个 插件 用 于 在 陌 陌 


iOs 版 上 把 美女 的 位 置 标注 在 地 


网 


Е, š 


当然 我 们 都 是 善意 的 开发 者 ， 主 动 将 这 个 漏洞 告诉 了 陌 隔 ， 他 们 很 快 就 修复 了 。 这 次 ， 我 们 再 次 合作 ， 将 iOS 逆 向 


在 接触 越狱 开发 、 逆 
于 越狱 开发 ， 也 适用 于 


有 经 验 的 开发 者 都 明 


在 Android 领 域 ， 底 


传统 的 App 开 : 


层 技术 已 经 被 扩散 开 ， 而 在 iOS 领 域 ， 这 个 方向 


向 工程 的 这 些 稀 


， 知 识 掌握 得 越 深 ， 越 会 接触 到 底 


FF， 个 人 感觉 最 大 的 收获 就 是 看 待 App 时 ， 完 全 以 一 种 应 丁 解 牛 的 眼光 去 审视 : App 如 何 构 
发 ， 至 于 带 来 的 影响 ， 有 正 有 负 吧 ! 我 们 不 能 因为 苹果 不 提倡 越狱 就 否定 这 个 领域 的 存在 ， 


层 技术 。 比 如 sandbox 保 护 机 制 具体 体现 在 哪些 方 | 


展现 出 来 的 内 容 还 只 是 冰山 一 角 。 昌 然 | 


ЕЕ) 


工程 方向 的 知识 整理 出 版 ， 呈 现 给 各 位 读者 。 


成 、 性 能 如 何 ， 可 以 直接 反映 出 开发 团队 水 平 高 低 。 这 些 经 验 知识 不 仅 可 


(iOS Hacker’ s Handbook》， 但 是 内 容 太 难 ， 绝 大 多 数 人 根本 读 不 懂 ， 即 使 我 们 这 些 有 一 定 经 验 的 开发 者 ， 读 这 些 书 也 非常 吃力 ， 效 果 不 好 。 


阳春 白雪 不 为 我 们 六 


些 喜欢 实践 的 


面 、 系 统 地 展开 知识 点 ， 


将 一 个 完整 的 知识 体系 呈现 给 读者 ， 


读者 对 象 


技术 宅 所 好 ， 那 么 来 点 下 里 巴 人 的 ， 不 必 遮 遮掩 掩 ， 直 接 全 面 


BRAR, Е 


本 书 主要 面向 以 下 读者 : 


C iDOS 狂 热爱 好 者 。 


文 并 成 ， 带 着 读者 一 步 步 地 探索 App 的 内 在 。 我 们 不 会 像 一 些 技术 博客 那样 狐 似 很 高 深 地 独立 分 析 某 一 片段 的 代码 ， 也 不 纠结 
提供 一 整套 iOS 应 用 逆向 工程 的 方法 论 ， 相 信 读 者 一 定 会 有 所 收获 。 


- 中 高 级 iOS 开 发 人 员 。 他 们 在 掌握 了 App 开 发 之 后 对 iOS 有 更 深 的 渴求 。 


. 架构 师 。 在 逆向 App 的 整个 过 程 中 ， 架 构 师 能 学 习 那 些 优秀 App 的 架构 设计 ， 以 这 种 方式 博采众长 ， 提 高 自己 的 架构 设计 能 力 。 


“ 在 别 的 系统 上 从 事 逆向 工程 ， 想 要 转向 OS 北向 工程 的 工程 师 。 


些 年 ， 国 内 投入 在 越狱 和 OS 这 个 方向 的 人 越 来 越 多 ， 但 都 比较 低调 ， 他 们 开发 出 的 越狱 工具 、App 助 手 、Cydia 插 件 影响 着 整个 |OS 的 发 
这 些 知识 ， 希 望 能 够 抛砖引玉 。 


展开 这 些 知识 岂 不 是 更 痛快 ”于 是 就 有 了 我 们 这 本 书 ， 书 中 的 内 容 以 概念 、 工 


地 相信 本 书 曝光 的 安全 问题 不 存在 不 过 是 掩耳盗铃 罢了 。 


面 ? runtime 只 用 来 研究 理论 知识 是 不 是 有 点 大 材 小 用 了 ? 


外 也 有 几 本 iOS 安 全 方向 的 书籍 ， 比 如 《Hacking and Securing iOS Applications》、 


、 理 论 、 实 战 的 形式 全 


"E 字 有 几 种 写法 ， 而 是 尽 我 们 所 能 


展 。 他 们 积累 的 技术 非 我 人 


] 这 些 散 兵 游 勇 所 能 及 ， 但 我 们 更 愿 


如 何 阅读 本 书 


本 书 将 分 为 四 大 部 分 ， 分 别 是 概念 、 工 具 、 理 论 和 实战 。 前 三 部 分 介绍 iOS 逆 向 工程 这 个 领域 的 背景 、 知 识 体系 ， 以 及 相应 的 工具 集 、 理 论 知识 ; 第 四 部 分 则 以 4 个 具体 案例 将 前 面 的 知识 以 实战 的 方式 
展开 ， 让 读者 可 以 实践 验证 前 面 学 到 的 知识 ， 加 深 对 iOS 逆 向 工程 的 理解 。 


如 果 读者 不 具备 iOS 逆 向 工程 经 验 ， 建 议 还 是 从 头 开始 按 顺 序 阅读 ， 而 不 要 直接 跨越 到 第 四 部 分 去 模拟 实战 。 虽 然 实战 的 成 果 很 炉 ， 但 知 其 然而 不 知 其 所 以 然 也 没意思 ， 对 不 对 ? 


勘误 和 支持 


由 于 作者 的 水 平 有 限 ， 编 写 的 时 间 也 很 仓促 ， 书 中 难免 会 出 现 一 些 错误 或 者 不 准确 的 地 方 ， 尾 请 读者 批评 指正 ， 欢 迎 访 问 本 书 的 官方 论坛 http://bbs.iosre.com， 全 球 的 iOS 逆 向 工程 师 都 在 这 里 聚集 ， 
你 的 问题 应 该 会 得 到 满意 的 解答 。 如 果 你 有 更 多 的 宝贵 意见 ， 也 欢迎 你 通过 微 博 @iOSs 应 用 逆向 工程 或 官方 论坛 与 我 们 联系 ， 我 们 很 期 待 能 够 听 到 你 们 的 真挚 反馈 。 


致谢 


首先 要 感谢 evad3rs、 盘 古 、 太 极 、saurik 等 顶级 团队 与 高 手 ， 他 们 葛 定 了 越狱 iDS 的 基石 ;还 要 感谢 DHowett， 是 他 提供 了 Theos 这 个 强大 的 开发 工具 使 我 得 以 迈进 iOS 逆 向 工程 的 大 门 。 
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“ 第 1 章 iOS 弟 向 工程 简介 
: 第 2 章 “ 越 狱 iOS 平 台 简 介 


软件 逆向 工程 ， 指 的 是 通过 分 析 一 个 程序 或 系统 的 功能 、 结 构 或 行为 ， 将 它 的 技术 实现 或 设计 细节 推导 出 来 的 过 程 。 当 我 们 对 一 个 软件 的 功能 很 感 兴趣 ， 却 又 拿 不 到 它 的 源 代码 时 ， 往 往 可 以 通过 逆向 


工程 的 方式 对 它 进行 分 析 。 


对 于 iOS 开 发 者 来 说 ， 运 行 在 〇 S 上 的 各 种 软件 是 我 们 知晓 的 最 复杂 且 超 奇妙 的 虚拟 物品 之 一 ， 它 们 精巧 而 细致 ， 新 疾 且 创意 十 足 。 作 为 开发 者 ， 在 看 到 一 些 精 美的 App， 惊 叹 于 它 的 实现 之 外 ， 也 一 定 
会 好 奇 : 在 优雅 的 外 表 下 ， 它 们 采用 了 何 种 技术 ? 我 们 能 否 从 中 学 到 些 什么 ? 


第 1 章 iOs 逆 向 工程 简介 


然 可 口 可 乐 的 配方 是 高 度 机 密 ， 但 还 是 有 些 公司 可 以 调制 出 跟 可 乐 几乎 没有 差别 的 味道 。 虽 然 我 们 拿 不 到 别人 App 的 源码 和 文档 ， 但 仍 可 以 通过 逆向 工程 来 一 况 究 竟 。 


1.1 ioOs 逆 向 工程 的 要 求 


iOs 逆 向 工程 指 的 是 在 软件 层面 上 进行 逆向 分 析 的 一 个 过 程 。 读 者 如 果 想 要 具备 较 强 的 iOs 逆 向 工程 能 力 ， 最 好 能 非常 熟悉 iOS 设 备 的 硬件 构成 、iOS 系 统 的 运行 原理 ， 还 要 具备 丰富 的 iOS 开 发 经 验 。 如 
果 你 拿 到 任意 一 个 App 之 后 能 够 大 致 推断 出 它 的 项 目 规模 和 使 用 的 技术 ， 比 如 它 的 MVC (Model-View-Controller, Google "iOS MVC" ) 模型 是 怎么 建立 的 ， 引 用 了 哪些 framework 和 经 典 的 开源 代 
码 ， 说 明 你 的 iOs 逆 向 工程 能 力 已 经 不 容 小 凯 了 。 


这 要 求 高 吗 ? 好 像 确实 有 点 高 ! 不 过 ， 这 些 条 件 都 是 充分 非 必要 的 。 如 果 你 目前 还 不 具备 这 些 充分 条 件 ， 那 么 一 定 要 满足 两 个 必要 条 件 : 强烈 的 好 奇 心 和 钠 而 不 舍 的 精神 。 因 为 在 iOs 逆 向 工程 中 ， 好 奇 
心 会 驱动 你 去 研究 经 典 的 App， 而 在 研究 的 过 程 中 一 定 会 遇 到 一 系列 的 困难 和 障碍 ， 但 你 又 不 可 能 对 任何 问题 都 胸有成竹， 所 以 这 时 就 需要 有 铀 而 不 舍 的 精神 来 支撑 你 克服 一 个 又 一 个 困难 。 请 相信 ， 在 投 
入 大 量 精力 去 编写 代码 、 调 试 程序 、 分 析 罗 辑 之 后 ， 你 会 在 不 断 的 试验 和 错误 中 感受 到 逆向 工程 的 艺术 之 美 ， 你 的 个 人 能 力也 会 得 到 质 的 提升 。 


12 ”iOS 应 用 逆向 工程 的 作用 


打 个 比喻 ，iOSs 逆 向 工程 就 像 一 杆 长 矛 ， 专 门 刺 破 App 看 似 安全 的 防护 盾 。 有 趣 的 是 ， 很 多 制作 App 的 公司 还 没有 意识 到 这 样 一 杆 长 矛 的 存在 ， 固 步 自封 地 以 为 自己 的 盾 坚 不 可 摧 。 


对 于 微 信 和 WhatsApp 之 类 的 IM 应 用 ， 交 流 的 信息 是 它们 的 核心 ， 对 于 银行 、 支 付 、 电 商 类 的 软件 ， 交 易 数据 和 客户 信息 是 它们 的 核心 。 所 有 的 核心 数据 都 是 需要 重点 保护 的 ， 于 是 ， 开 发 人 员 通 过 反 
调试 、 数 据 加 密 、 代 码 混淆 等 各 种 手段 重重 保护 自己 App， 为 的 就 是 增加 逆向 工程 的 难度 ， 避 免 类 似 的 安全 问题 影响 用 户 体验 。 


可 是 目前 App 防 护 所 用 到 的 技术 跟 iOSs 逆 向 工程 所 使 用 的 技术 根本 就 不 是 同一 个 维度 的 。 一 般 的 App 防 护 ， 感 觉 就 像 是 一 个 城堡 ， 将 App 的 MVC 布 置 在 城堡 内 部 ， 外 围 圈 上 厚 厚 的 城墙 ， 看 上 去 易 守 难 
攻 ， 就 像 图 1-1 所 示 的 这 样 。 


图 1-1 防御 良好 的 城堡 (图 片 来 自 刺客 信条 ) 


但 是 当 我 们 站 到 高 处 ， 在 天 空中 鸟 晤 这 个 App 所 在 的 城堡 ， 它 的 内 部 结构 就 不 再 是 秘密 ， 如 图 1-2 所 示 。 


912 БШО (АЛАМЕ) 


这 时 ， 所 有 的 Objective-C 函 数 定义 、 所 有 的 property、 所 有 的 导出 函数 、 所 有 的 全 局 变量 、 所 有 的 逻辑 完全 暴露 在 我 们 面前 ， 城 墙 的 防护 意义 荡然 无 存 。 处 在 这 个 维度 ， 城 墙 已 经 不 再 是 阻碍 ， 我 们 更 


应 该 关注 的 是 如 何 从 借 大 的 城堡 里 面 找 到 想 要 找 的 那 一 个 人 。 


此 时 ， 基 于 iOSs 北 向 工程 技术 ， 可 以 在 不 破坏 城墙 的 前 提 下 ， 选 择 任意 高 维 | 
术 目 的 。 


度 地 点 进入 低 维 


度 城堡 ， 巧 取 而 不 强 夺 ， 通 过 监视 甚至 改变 App 的 运行 逻辑 ， 从 而 达到 获取 核心 信息 ， 了 解 软件 设计 原理 等 战 


说 得 似乎 很 玄 平 ， 可 事实 就 是 如 此 。 就 笔者 数 年 来 对 App 和 iOS 系 统 本 身 进行 逆向 工程 的 经 历 和 成 果 来 看 ，iOS 应 用 逆向 工程 可 以 “透视 ” 绝 大 多 数 App， 它 们 的 设计 理念 与 实现 细节 在 逆向 工程 中 暴露 


无 遗 。 


以 上 比喻 只 是 iOs 逆 向 工程 的 一 隅 之 见 ， 但 也 形象 地 说 明了 iOSs 逆 向 工程 的 强大 威力 。 概 括 起 来 ，iOS 逆 向 工程 主要 有 两 个 作用 : 


“ 分 析 目 标 程序 ， 拿 到 关键 信息 ， 可 以 归 类 于 安全 相关 的 北向 工程 ; 


“ 借鉴 他 人 的 程序 功能 来 开发 自己 的 软件 ， 可 以 归 类 于 开发 相关 的 逆向 工程 。 


1.2.1 安全 相关 的 iOSs 逆 向 工程 


安全 相关 的 上 T 行 业 一 般 会 大 量 运用 逆向 工程 技术 。 比 如 : 通过 逆向 一 个 金融 类 App， 来 评定 安全 等 级 ， 通 过 逆向 iOS 病 毒 ， 来 找到 查 杀 的 方法 ， 通 过 逆向 iOS 系 统 电话 、 短 信 功 能 ， 来 构建 一 个 手机 防火 
墙 ， 等 等 。 


1. 评 定安 全 等 级 


iOs 中 那些 具有 交易 功能 的 App 一 般 会 先 加 密 数据 ， 然 后 将 加 密 过 的 数据 存储 在 本 地 或 通过 网 络 传输 。 如 果 安 全 意识 不 够 强 ， 就 完全 有 可 能 将 敏感 信息 (如 银行 账号 和 密码 ) 直接 用 明文 保存 或 传输 ， 安 
全 隐患 极 大 。 


假如 一 家 有 名 望 的 公司 考虑 推出 一 款 App， 为 了 让 App 的 质量 能 够 对 得 起 公司 的 声誉 和 用 户 的 信任 ， 该 公司 聘请 一 家 安全 机 构 来 评估 这 个 App 的 安全 性 。 绝 大 多 数 情况 下 ， 安 全 机 构 无 法 拿 到 App 的 源 
代码 ， 不 能 通过 代码 审核 的 方式 正 向 分 析 App 的 安全 性 ， 因 此 ， 他 们 只 有 利用 iOS 逆 向 工程 技术 ， 烷 试 “ 攻 击 ” 这 个 App， 然 后 依据 结果 评定 其 安全 等 级 。 


2. 逆 向 恶意 软件 


iOS 是 智能 移动 终端 操作 系统 ， 它 同 计算 机 操作 系统 没有 本 质 区 别 。 从 第 一 代 开 始 ， 它 就 已 具备 了 上 网 功能 ， 而 互联 网 正 是 恶意 软件 传播 的 最 好 媒介 。2009 年 暴露 的 |kee 病 毒 是 IOS 上 公开 的 第 一 款 蠕 虫 
病毒 ， 它 会 感染 那些 已 经 越狱 并 且 安 装 了 ssh 服 务 ， 但 是 没有 更 改 ssh 默 认 密 码 “alpine” 的 iOs， 将 它们 的 锁 屏 背景 图 改 成 一 个 英国 歌手 的 照片 。2014 年 年 底 出 现 的 WireLurker 病 毒 会 窃取 用 户 隐私 信息 ， 
并 且 可 以 通过 PC 和 Mac 传 播 ， 给 iOs 用 户 带 来 了 比较 严重 的 危害 。 


对 于 恶意 软件 的 开发 者 来 说， 他 们 通过 逆向 工程 定位 系统 和 软件 漏洞 ， 利 用 漏洞 渗透 进 目标 主机 ， 获 取 数 据 ， 为 所 欲 为 。 


Ë 


对 于 杀毒 软件 的 开发 者 来 说， 他 们 通过 逆向 工程 剖析 病毒 样本 ， 观 察 病毒 行为 ， 尝 试 查 杀 被 感染 主机 上 的 病毒 ， 并 总 结 出 可 以 防范 病毒 的 方法 。 


3. 检 查 软件 后 门 


开源 软件 的 一 大 优势 是 其 具有 较 好 的 安全 性 。 成 干 上 万 的 程序 员 浏览 并 修改 开源 软件 的 代码 ， 代 码 中 几乎 不 可 能 存在 任何 后 门 ， 软 件 的 安全 问题 往往 在 大 白 于 天 下 之 前 就 能 及 时 得 到 解决 。 而 对 于 闭 源 
软件 ， 逆 向 工程 是 检查 其 是 否 留 有 后 门 的 主要 方法 之 一 。 比 如 我 们 常会 在 越狱 IOS 中 通过 AppSstore 以 外 的 渠道 安装 各 种 软件 ， 这 些 软件 未 经 苹果 官方 审核 ， 存 在 一 定安 全 隐患 还 有 的 App 会 故意 留 有 后 
门 ， 伺 机 损害 用 户 的 利益 。 对 这 一 类 行为 进行 检测 的 过 程 中 通常 少不了 逆向 工程 的 身影 。 


4 去 除 软件 使 用 限制 


iOS 开 发 者 通过 AppStore 或 Cydia 等 渠道 出 售 自己 的 App， 作 为 他 们 最 主要 的 经 济 来 源 之 一 。 在 软件 的 世界 里 ， 收 费 与 盗版 永远 是 共存 的 ， 不 少 开发 者 也 在 自己 的 App 里 加 入 了 防止 盗版 的 功能 。 但 这 场 
矛 与 盾 的 战争 永远 不 会 停止 ， 再 好 的 防御 也 会 有 被 攻破 的 一 天 ， 盗 版 软件 的 层出不穷 把 防止 盗版 变 成 了 一 项 不 可 能 完成 的 任务 。 比 如 Cydia 上 最 知名 的 “共享 ” 源 xsellize 能 够 在 几乎 所 有 收费 软件 发 布 后 的 1 
天 时 间 内 对 其 完成 破解 ， 是 业界 的 一 大 毒瘤 。 


1.2.2， 开 发 相关 的 iOSs 逆 向 工程 


对 于 iOSs 开 发 者 来 说 ， 逆 向 工程 是 最 为 实用 的 技术 之 一 。 例 如 ， 工 程 师 可 以 逆向 系统 AP1， 在 自己 的 App 里 使 用 一 些 文档 中 没有 提 及 的 私有 功能 ， 还 可 以 逆向 一 些 经 典 软件 ， 学 习 借鉴 它们 的 技术 和 设 
计 。 


1. 逆 向 系统 API 


工程 师 编写 的 软件 之 所 以 能 够 运行 在 操作 系统 中 ， 提 供 各 种 各 样 的 功能 ,是 因为 操作 系统 本 身 已 经 内 说 了 这 些 功 能 ,软件 只 是 对 其 进行 重新 组 合 轻 了 。 众 所 周知 ， 能 在 App store 上架 的 App 的 功能 
分 有 限 ， 在 苹果 公司 严格 的 审核 制度 下 ， 绝 大 多 数 App 的 实现 都 源 于 公开 的 开发 文档 ， 而 不 能 使 用 诸如 发 短信 、 打 电话 等 文档 中 不 涉及 的 功能 。 如 果 你 的 软件 面向 Cydia， 那 么 不 采用 非 公开 功能 将 会 导致 软 
件 丧 失 极 大 的 竞争 力 。 如 果 你 的 软件 想 拥有 文档 里 没有 提 及 的 非 公 开 功 能 ， 最 有 效 的 途径 就 是 逆向 iOS 系 统 AP1， 还 原 系统 实现 相应 功能 的 代码 ， 并 应 用 到 自己 的 软件 中 。 


= 


2. 借 鉴别 的 软件 


逆向 工程 最 受 欢迎 的 应 用 场合 就 是 “借鉴 ”他 人 的 软件 功能 。 对 于 App store 上 的 大 多 数 App 来 说 ， 其 技术 实现 并 不 复杂 ， 巧 妙 的 创意 和 良好 的 运营 才 是 其 成 功 的 关键 。 如 果 只 是 单纯 借鉴 其 功能 ， 那 
么 采用 逆向 工程 来 还 原 代 码 ， 费 时 费力 ， 性 价 比 低 ， 不 如 从 头 开发 一 个 功能 类 似 的 软件 省 时 省 力 ， 性 价 比 高 。 但 是 ， 当 我 们 不 知道 App 中 的 某 个 功能 是 如 何 实现 的 时 候 ， 逆 向 工程 就 能 起 到 关键 性 的 作用 。 
这 种 情况 在 大 量 使 用 私有 函数 的 Cydia 软 件 中 尤其 常见 ， 比 如 2013 年 3 月 面世 的 ， 号 称 iOS 上 第 一 款 通话 录音 软件 的 Audio Recorder， 它 是 闭 源 软件 ， 但 足够 有 趣 ， 此 时 使 用 iOS 逆 向 工程 技术 就 能 够 对 它 了 
==. 


有 些 老牌 软件 的 架构 设计 合理 ， 代 码 工整 规范 ， 实 现 得 非常 优雅 。 我 们 没有 他 们 那样 深厚 的 技术 功底 和 人 才 储备 ， 想 要 借鉴 他 们 使 用 的 高 级 技术 ， 却 又 求学 无 门 。 在 这 种 情况 下 ， 逆 向 工程 就 是 解决 问 
题 的 金 钥匙 。 通 过 逆向 那些 软件 ， 可 以 从 App 中 把 它们 的 设计 思路 抽象 出 来 为 我 所 用 ， 从 而 提高 自己 App 的 精致 程度 。 比 如 ，WhatsApp 的 稳定 性 、 健 壮 性 出 类 拔 萃 ， 如 果 我 们 自己 要 编写 一 个 IM 类 App， 
通过 逆向 工程 技术 学 习 WhatsApp 的 整体 架构 与 设计 思路 将 是 非常 有 益 的 。 


1.3 ioOSs 应 用 逆向 工程 的 过 程 


要 逆向 一 个 App 时 ， 应 该 怎么 思考 ?应 该 从 何 入 手 ? 这 本 书 的 初 囊 就 是 引导 初学 者 走 进 ijOS 逆 向 工程 的 大 门 ， 培 养 读者 从 逆向 的 角度 思考 问题 。 


一 般 来 说， 软件 逆向 工程 可 以 看 作 系 统 分 析 和 代码 分 析 两 个 阶段 的 有 机 结合 。 在 系统 分 析 阶 段 ， 要 从 整体 上 观察 目标 程序 的 行为 特征 、 文 件 的 组 织 架构 ， 从 而 找到 我 们 感 兴趣 的 地 方 ， 进 入 代码 分 析 阶 
段 后 ， 则 要 把 软件 的 核心 代码 还 原 出 来 ， 最 终 达到 我 们 的 目的 。 


1.31 ”系统 分 析 


在 系统 分 析 阶 段 ， 应 在 不 同 的 条 件 下 运行 目标 程序 ， 在 程序 中 进行 各 种 各 样 的 操作 ， 观 察 程序 的 行为 特征 ， 同 时 寻找 我 们 感 兴趣 的 功能 点 。 比 如 选择 哪个 选项 会 弹 框 ， 按 下 哪个 按钮 会 发 声 ， 输 入 什么 
内 容 屏 幕 会 有 什么 显示 ， 等 等 。 还 可 以 浏览 文件 系统 ， 观 察 程序 显示 的 图 片 、 程 序 的 配置 文件 存放 的 位 置 ， 数 据 库 文件 中 存放 了 哪些 信息 ， 有 没有 加 密 等 特征 。 


以 新 浪 微 博 App 为 例 ， 我 们 在 查看 它 的 Documents 目 录 时 ， 会 看 到 如 下 一 些 数据 库 文件 : 


-rw-r--r-- 1 mobile mobile 210944 Oct 26 11:34 db 46100 1001482703473.dat 
-rw-r--r-- 1 mobile mobile 106496 Nov 16 15:31 db 46500 1001607406324.dat 
-rw-r--r-- 1 mobile mobile 630784 Nov 28 00:43 db 46500 3414827754.dat 
-rw-r--r-- 1 mobile mobile 6078464 Dec 6 12:09 db 46600 1172536511.dat 


SQLite 工 具 打 开 它们 ， 可 以 看 到 一 些微 博 关注 信 息 ， 如 图 1-3 所 示 。 


这 样 的 信息 给 逆向 工程 提供 了 很 多 线索 : 数据 库 文件 名 、 微 博 用 户 的 ID， 用 户 信息 对 应 的 URL 等 ， 这 些 都 可 以 作为 逆向 工程 的 切入 点 。 寻 找 和 整理 这 些 线索 ， 从 中 抽 丝 剥 茧 找到 我 们 感 兴趣 的 东西 ， 往 


往 是 iOs 逆 向 工程 的 第 一 步 。 


1807621622 ЖА БА-Шп 

1497487043 ЖЕЕ 
Angela #5 
宁 凡 Freya 
EDC 尤 原 庆 

1565668374 tie 


3962782795 &#@Acheerego 
1283498527 #77 РеддуНѕи 
1198922365 W#lcy 
2270268414 Dawen=AX 
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完成 系统 分 析 之 后 ， 就 该 对 App 的 二 进 制 文 件 进行 代码 分 析 了 。 


http://tp3.sinaimg.cn/1807621622/50/5700356795/0 
http://tp4.sinaimg.cn/1497487043/50/1297238551/1 
http://tpl1.sinaimg.cn/2835121504/50/5664550946/0 
http://tp2.sinaimg.cn/1744390777/50/40053380567/0 
http://tp3.sinaimg.cn/2875568950/50/40001989049/1 
http://tp3.sinaimg.cn/1565668374/50/5703348848/1 
http://tp4.sinaimg.cn/3962782795/50/40043044497/0 
http://tp4.sinaimg.cn/1283498527/50/40054968787/0 
http://tp2.sinaimg.cn/1198922365/50/5635147308/0 
http://tp3.sinaimg.cn/2270268414/50/5705504906/1 
http://tpl.sinaimg.cn/1787113000/50/5602434900/1 
http://tp3.sinaimg.cn/1751505334/50/5711190523/0 


图 1-3 新浪 微 博 数 据 库 信 息 


通过 逆向 工程 ， 可 以 推导 出 这 个 App 的 设计 思路 、 内 部 算法 和 实现 细节 ， 但 这 是 一 个 非常 复杂 的 过 程 ， 可 以 说 是 一 种 解构 再 重组 的 艺术 。 想 让 自己 的 逆向 工程 水 平 达到 艺术 的 高 度 ， 需 要 对 软件 开发 、 
硬件 原理 和 iOS 系 统 有 透彻 的 理解 。 一 点 一 点 地 分 析 程 序 的 底层 指令 绝 非 易 事 ， 也 不 是 一 本 书 能 够 完全 阐述 清楚 的 。 


本 书 的 目标 仅仅 是 向 初学 者 讲述 iOSs 逆 向 工程 入 门 时 所 用 到 的 工具 和 一 般 思路 ， 


坛 http://bbs.iosre.com， 供 大 家 讨论 和 交流 最 新 的 技术 。 


14 iOS 应 用 逆向 工程 的 工具 


但 技术 是 不 断 发 展 的 ， 书 中 的 内 容 不 可 能 覆盖 所 有 的 知识 点 。 出 于 这 个 考虑 ， 笔 者 搭建 了 一 个 iOS 逆 向 工程 论 


了 解 了 一 些 iOs 逆 向 工程 的 理论 ， 就 要 使 用 各 种 工具 实践 这 些 理论 了 。 相 对 于 正 向 开发 ， 逆 向 工程 使 用 的 工具 并 不 那么 “智能 ”， 很 多 工作 需要 我 们 手工 完成 。 但 是 对 工具 的 熟练 使 用 能 够 极 大 地 提高 逆 
向 工程 的 效率 。iOs 逆 向 工程 的 工具 可 以 分 为 四 大 类 : 监测 工具 、 反 汇编 工具 (disassembler) 、 调 试 工具 (debugger) ， 以 及 开发 工具 。 


1.4.1 监测 工具 


在 iOs 逆 向 工程 中 ， 起 到 嗅 探 、 监 测 、 记 录 目 标 程序 行为 的 工具 统称 为 监测 工 


具 。 这 些 工 


通常 可 以 记录 并 显示 目标 程序 的 某 些 操 作 ， 如 Ul 变化、 网 络 活动 、 文 件 访问 等 。iOS 逆 向 常用 的 监测 工具 有 


Reveal、snoop-it、introspy 等 。 


图 1-4 所 呈现 的 是 一 款 监测 工具 一 一 Reveal， 它 可 以 用 来 实时 监测 目标 App 的 UI 布局 变化 


4 P Notes (FunMaker 5) * C UlScreen 


Notes 1.0 
FunMaker 5 (iOS 8.1) 
v [ ] UlScreen: Main Screen 
v [7]ulwindow 
У 'UlLayoutContainerView 
v: ‘UlLayoutContainerView 
v: 'UlNavigationTransitionView 
v: 'UlViewControllerWrappei 《 Back 13 
v' 1 UlLayoutContainerVie' 


December 6, 2014, 19:15 
v: 'UlNavigationTransit 


v: 'UlViewController bbs.iosre.com 
vw: |NotesBackgrc 
Y INotesTextu 


图 1-4 Reveal 


Reveal 能 够 辅助 定位 App 中 我 们 感 兴趣 的 部 分 ， 让 我 们 能 够 迅速 从 UI 层面 切入 代码 层面 。 
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从 UI 层 面 切入 代码 层面 后 ， 就 要 用 到 反 汇 编 工 具 来 梳理 代码 了 。 反 汇编 工具 把 二 进 制 文件 作为 输入 ， 经 过 处 理 后 输出 这 个 文件 的 汇编 代码 ; 在 iOs 逆 向 工程 中 ， 常 用 的 反 汇 编 工 具 主要 是 IDA 和 
Hopper。 


作为 老牌 反 汇编 工具 ，IDA 是 逆向 工程 中 最 常用 的 利器 之 一 。 它 支持 Windows、Linux、OSX 平 台 和 多 种 处 理 器 架构 ， 如 图 1-5 所 示 。 


Hopper 是 一 款 近 年 面世 的 反 汇编 工具 ， 它 主要 针对 的 是 苹果 系 操作 系统 ， 如 图 1-6 所 示 。 


把 二 进 制 文件 反 汇编 之 后 ， 就 要 阅读 生成 的 汇编 代码 了 。 这 是 iOS 逆 向 工程 中 最 具 挑 战 ， 也 是 最 有 意思 的 部 分 ， 具 体会 在 第 6 章 详细 讲述 。 本 书 主要 以 IDA 作 为 反 汇编 工具 ， 但 我 们 会 
在 http://bbs.iosre.com 交 流 Hopper 的 使 用 心得 。 


{R7,LR} 
RO, #(:lowerl6:(selRef_processInfo - 0x298C)) 
SP 
#(:upperl6:(selRef_processInfo - 0x298C)) 
$(classRef NSProcessInfo - 0х298Е) ; classRef NSProcessInfo 
PC ; selRef processInfo 
PC ; classRef NSProcessInfo 
[RO] ; "processInfo" 
[82] ; OBJC CLASS $ NSProcessInfo 
.objc msgSend 
R1, #(selRef_processName - 0x29A0) ; selRef processName 
R1, PC ; selRef processName 
R1, [81] ; "processName" 
_objc_msgSend 
#(selRef isEqualToString - 0x29B4) ; selRef isEqualToString 
#(:lowerl6:(cfstr_Springboard - 0x29BA)) ; "SpringBoard" 
PC ; selRef isEqualToString 
#(:upperl6:(cfstr_Springboard - 0x29BA)) ; "SpringBoard" 
PC ; "SpringBoard" 
[R1] ; "isEqualToString:" 
_objc_msgSend 
RO, #0xFF 
loc_29CE 


图 1-5 IDA 


0x00002974 
0x00002976 
0x0000297a 
0x0000297c 
0x00002980 
0x00002984 
0x00002988 
0x0000298a 
0x0000298c 
0x0000298e 
0x00002990 
0x00002994 
0x00002998 
0x0000299c 
0x0000299e 
0x00002920 
0x00002924 
0x000029238 
0x000029ac 
0x000029b6 
0x000029b2 
0x000029b6 
0x000029b8 
0x000029ba 
0x000029be 
0x000029c2 
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sub 2974: 
push {г7, Ur} 
movw X0x3c14 
mov sp 
movt #0x1 
movw #0x4072 
movt #0x1 
add рс 
ааа pc 
ldr [г@] 
ldr re, [r2] 
blx imp___ symbolstubi__objc_msqSend 

movw rl, #0х3с04 

movt rl, #@х1 

add rl, pc 

ldr ris ГЕ 

blx imp___symbolstub1__objc_msgSend 

movw #Ox3bT4 

movt #0х1 

тоум #Ox2ade 

add pc 

movt #0х1 

ааа pc 

ldr [r1] 

blx imp___ symbolstubi  objc msgSend 

tst.w rü, #@xff 

beq 0x29ce 


图 1-6 Hopper 


iOSs 开 发 者 对 调试 工具 应 该 不 陌生 ， 在 App 开 发 中 ， 少 不 了 在 Xcode 中 调试 代码 。 我 们 可 以 在 某 一 行 代码 上 设置 断 点 ， 使 进程 能 够 停止 在 那 一 行 代码 上 ， 并 实时 显示 进程 当前 的 状态 。 在 iOS 逆 向 工程 


中 ， 用 到 的 调试 工具 主要 是 LLDB。 图 1-7 是 使 用 LLDB 进 行 调试 的 示例 。 


snakeninnys-MacBook:~ snakeninny$ lldb 
(lldb) attach Finder 
Process 303 stopped 


Executable module set to "/System/Library/CoreServices/ 


Finder.app/Contents/MacOS/Finder". 
Architecture set to: x86 64-apple-macosx. 
(1ldb) c 
Process 303 resuming 


144 开发 工具 


图 1-7 


LLDB 


从 UI 层 面 切入 代码 层面 ， 用 


AppStore 转 移 到 越狱 iOS， 开 发 工具 的 种 类 就 得 到 了 扩充 ， 不 但 有 基于 


反 汇编 工 


和 调试 工具 分 析 过 二 进 制 文件 后 ， 就 可 以 整理 分 析 结果 ， 用 


觉 自己 一 直 都 被 限制 在 AppStore 中 ， 直 到 
到 http:/Wbbs.iosre.com 交 流 讨论 。 


开发 工 | 


写 程序 了 。 对 于 App 开 发 者 来 说 ，Xcode 是 最 常 


的 开发 工 


。 但 是 我 们 一 旦 将 战场 从 


FXcode 的 iOSOpenDev， 还 有 偏 命令 行 的 Theos。 从 个 人 体验 来 说 ，Theos 是 让 笔者 最 为 兴奋 的 开发 工具 ， 在 知道 Theos 之 前 ， 笔 者 感 


掌握 了 Theos 的 用 法 ， 才 突破 了 AppStore， 完 整地 认识 了 整个 iOS 系 统 。 本 书 主要 以 Theos 作 为 开发 工具 ， 关 于 iOSOpenDev 的 问题 ， 可 以 
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本 章 科普 了 iOS 应 用 逆向 工程 的 相关 概念 ， 旨 在 让 读者 对 iOs 逆 向 工程 有 一 个 概念 上 的 大 体 了 解 。 详 细 的 技术 内 容 和 案例 会 在 后 面 的 章节 中 逐一 讲解 ， 敬 请 期 待 。 


第 2 章 ”越狱 IO 平台 简介 


相 较 于 iOS 应 用 的 高 层 表 象 ， 人 们 对 其 底层 实现 更 感 兴趣 ， 这 也 是 大 家 进行 逆向 工程 的 源 动力 。 但 是 我 们 也 都 知道 ， 未 越狱 的 iOS 是 个 封闭 的 黑 盒子 ， 直 到 evad3rs、 盘 古 、 太 极 等 团队 把 iOs 越 狱 之 后 ， 
这 个 黑 盒子 才 被 打开 ， 神 秘 的 iOS 得 以 完整 地 展现 在 我 们 面前 。 


21 iOS 系 统 结 构 


对 于 未 越狱 的 iOS， 苹 果 官 方 开 放 给 第 三 方 直接 访问 iOS 文 件 系 统 的 接口 非常 有 限 ， 开 发 者 只 需要 遵循 规定 ， 参 考 文档 即 可 完成 工作 。 因 此 ， 纯 粹 的 App Store 开 发 者 可 能 对 iOS 系 统 结构 一 无 所 知 。 


因为 权限 极 低 ， 来 自 App Store 的 普通 App (以 下 简称 StoreApp) 不 能 访问 自身 目录 以 外 的 绝 大 多 数 文 件 。 而 iOS 一 旦 越狱 ,来 自 Cydia 的 App 就 可 以 拥有 上 比 StoreApp 更 高 的 权限 ， 从 而 访问 全 系统 文 
件 ; 来 自 Cydia 的 iFile 即 是 iOS 上 一 个 老牌 的 第 三 方 文件 管理 App， 如 图 2-1 所 示 。 
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/var/mobile 


|. Applications Gi) 
Э Containers (i) 
| © Documents (i) 
| © Documentslogs 


3 Downloads (1) 
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2-1 iFile 


还 可 以 在 AFC2 服 务 的 帮助 下 ， 通 过 iFunBox 等 PC 端 软件 访问 iOS 全 系统 文件 ， 如 图 2-2 所 示 。 


因为 要 逆向 的 对 象 来 自 于 iOS， 所 以 能 够 访问 ijOS 全 系统 文件 是 开 | 


展 iOs 逆 向 工程 的 首要 前 提 。 


iFunBox 


T e 人 小 m e 5, FunMaker 5 | iP... 2 


New Folder Refresh Со Ор Level Сору From Мас Сору То Мас Install App Current Device 


My Mac 


Y Ф FunMaker 5(iPhone 5, iDS8.1) 
> x User Applications 
> @ System Applications 


>»  Q App File Sharing 
General Storage 
@) Camera 
@) Cameral 
iB) Camera? 
图 Cydia App Install 
EÜ Ringtones 
О iBooks 
H Voice Memos 


©, Raw File System 


2.4.1 iOs 目 录 结 构 简 介 


iOS 是 由 OSX 演 化 而 来 的 ， 而 OSX 则 是 基于 UNIX 操 作 系 统 的 。 这 三 者 


Filesystem Hierarchy Standard (以 下 简称 FHS) 为 类 UNIX 操 作 系统 的 文件 目录 结构 制定 了 一 套 标 准 ， 它 的 初衷 之 一 是 让 


架 。 类 UNIX 操 作 系 统 的 常见 目录 结构 如 下 所 示 。 


“/: 根 目 录 ， 以 斜 杠 表示 ， 其 他 所 有 文件 和 目录 在 根 目 录 下 展开 。 


然 有 很 大 


Name Size 
.bash_history 5 KB 
ll .cycript 
forward 10 B 
了 .gdb_history 29 B 
MW Applications 
P Containers 
В Documents 
天 Documentslogs 
B Downloads 
P Library 
[Media 
[ч MobileSoftwareUpdate 
ta temp.txt 


图 2-2 iFunBox 


“ /bin: “binary” 的 简写 ， 存 放 提 供用 户 级 基础 功能 的 二 进 制 文件 ， 如 ]s、ps 等 。 


+ /boot: 存放 能 使 系统 成 功 启动 的 所 有 文件 。iOS 中 此 目录 为 空 。 


dev: “device” 的 简写 ， 存放 BSD 设 备 文件 。 每 个 文件 代表 系统 的 一 个 块 设备 或 字符 设备 ， 一 般 来 说 ，“ 块 设备 ”以 块 为 单位 传输 数据 ， 如 硬盘 ; 而 “字符 设备 ”以 字符 为 单位 传输 数据 ， 如 调制 解 


区 别 ， 但 它们 血脉 相连 。 从 Filesystem Hierarchy Standard 和 hier(7) 中 ， 可 以 一 宕 jiOS 目 录 结 构 的 设计 标准 。 


户 预 知 文件 或 目录 的 存放 位 置 。OSX 在 此 基础 上 形成 了 自己 的 hier(7) 框 


调 器 。 


“ /sbin: “system binaties” 的 简写 ， 存 放 提 供 系 统 级 基础 功能 的 二 进 制 文件 ， 如 netstat、treboot 等 。 

5 /etc: “EtCetera” 的 简写 ， 存放 系 统 脚本 及 配置 文件 ， 如 passwd、hosts 等 。 在 iOS 中 ，/etc 是 一 个 符号 链接 ， 实 际 指向 /private/etc。 

ЛЬ: 存放 系统 库 文件 、 内 核 模块 及 设备 驱动 等 。iOS 中 此 目录 为 空 。 

“ /mnt: “mount” 的 简写 ， 存 放 临 时 的 文件 系统 持 载 点 。iOS 中 此 目录 为 空 。 

+ private: 存放 两 个 目录 ， 分 别 是 /private/etc 和 /private/var。 

imp: 临时 目录 。 在 iOS 中 ，/tmp 是 一 个 符号 链接 ， 实 际 指向 /private/var/tmp。 

“ Just: 包含 了 大 多 数 用 户 工具 和 程序 。/usr/bin 包 含 那 些 /bin 和 /sbin 中 未 出 现 的 基础 功能 ， 如 nm、killall 等 ; /usr/include 包 含 所 有 的 标准 C 头 文件 ; /usr/lib 存 放 库 文件 。 


* /var: “variable” 的 简写 ， 存 放 一 些 经 常 更 改 的 文件 ， 比 如 日 志 、 用 户 数据 、 临 时 文件 等 。 其 中 /var/mobile 和 /var/root 分 别 存放 了 mobile 用 户 和 root 用 户 的 文件 ， 是 重点 关注 的 目录 。 


上 述 目录 中 的 内 容 多 用 于 系统 底层 ， 逆 向 难度 较 大 ， 作 为 初学 者 ， 暂 时 不 用 在 其 中 投入 太 多 精力 。 建 议 初 学 者 从 学 和 练 的 角度 出 发 ， 循 序 渐进 ， 由 易 到 难 ， 先 从 熟悉 的 内 容 开 刀 ， 这 样 效率 更 高 。 


作为 iOS 开 发 者 ， 日 常 操作 所 对 应 的 功能 模块 大 多 来 自 iOS 的 独 有 目录 ， 如 下 所 示 。 


seses ris 14:31 О 99% [f 
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图 2-3 /Applications 


+ /Applications: 存放 所 有 的 系统 App 和 来 自 于 Cydia 的 App， 不 包括 StoreApp， 如 图 2-3 所 示 。 


+ /Developer: 如 果 一 台 设备 连接 Xcode 后 被 指定 为 调试 用 机 〈 如 图 2-4 所 示 ) ，Xcode 就 会 在 iOS 中 生成 这 个 目录 ， 其 中 会 含有 一 些 调试 需要 的 工具 和 数据 ， 它 的 目录 结构 如 图 2-5 所 示 。 


Xcode File Edit View Find Navigate Editor Product Debug Source Control 


Device Information 


Name FunMaker 45 
10.10.1 (14B25) Model iPhone 4S 
FunMaker 5 Capaci 13.56 GB (7.7 GB available] 
8.1.1 (12B435) pey 7 ) 
ios 6.1.3 (10B329) 
FunMaker 4s 
6.1.3 (10B329) Identifier 2b5df82d0d47c3c9530c8173e6d7c3d44... 


图 2-4 指定 设备 为 调试 用 机 
+ /Library: 存放 一 些 提 供 系统 支持 的 数据 ， 其 结构 如 图 2-6 所 示 。 其 中 /Library/MobileSubstrate 下 存放 了 所 有 基于 CydiaSubstrate (原名 MobileSubstrate) 的 插件 。 
- /System/Library: iOS 文 件 系 统 中 最 重要 的 目录 之 一 ， 存 放大 量 系统 组 件 ， 其 目录 结构 如 图 2-7 所 示 。 


对 于 该 目录 ， 在 逆向 工程 的 初学 阶段 ， 需 要 重点 关注 的 有 : 


esooo 中 国联 通 F 20:44 100% = 


< / Developer Edit 


{Developer 


_) Applications (D 


BB Library 
Ий Tools (D 
GN us (D 


ecooo 中 国联 通 F 20:49 100% MEN 


</ Library Edit 


fLibrary 


[| О LaunchAgents 


= LaunchDaemons 


OO © 


L7 Lockdown 


EN Logs 


Managed Preferences 


Oo 


В MobileDevice 


| © MobileSubstrate 


Oo 


| О PreferenceBundles 


-) 


| — PreferenceLoader 


© @ Mm a 
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图 2-7 /System/Library 


+ /System/Library/Frameworks 和 /System/Library/PrivateFrameworks: 存放 iOS 中 的 各 种 framework， 其 中 出 现在 SDK 文 档 里 的 只 是 冰山 一 角 ， 还 有 数 不 清 的 未 公开 功能 等 待 我 们 去 挖掘。 


- /System/Library/CoreServices 里 的 SpringBoard.app: iOS Rm 32 2$ (类似 于 Windows 里 的 explorer) ， 是 用 户 与 系统 交流 的 最 重要 中 介 。 


"/System" 目录 下 的 玄机 远 不 止 上 面 提 到 的 3 个 目录 这 么 简单 ， 更 多 的 进 阶 内 容 ， 会 在 http://bbs.iosre.com 持 续 讨 论 。 


' /User: 用 户 目 录 ， 实 际 指向 /var/mobile， 其 目录 结构 如 图 2-8 所 示 。 


这 个 目录 里 存放 大 量 用 户 数据 ， 比 如 : 


+ /var/mobile/Media/DCIM 下 存放 照片 ; 

“ /var/mobile/Media/Recordings 下 存放 录音 文件 ; 
+ /var/mobile/Library/SMS 下 存放 短信 数据 库 ; 

+ /var/mobile/Library/Mail 下 存放 邮件 数据 。 


另外 一 个 非常 重要 的 子 目录 是 /var/mobile/Containers， 存 放 StoreApp。 值 得 注意 的 是 ，App 的 可 执行 文件 在 bundle 与 App 中 的 数据 目录 被 分 别 存放 在 /var/mobile/Containers/Bundle 
和 /var/mobile/Containers/Data 这 两 个 不 同 目 录 下 ， 如 图 2-9 所 示 。 


对 iOS 目 录 结 构 的 初步 了 解 有 助 于 在 发 现 感 兴趣 的 功能 后 ， 想 要 定位 其 对 应 的 文件 时 有 规律 可 循 。 上 面 的 介绍 只 是 整个 iOS 目 录 结构 的 九 牛 一 毛 ， 更 详细 的 讨论 ， 尽 在 http://bbs.iosre.com。 
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图 2-9 /var/mobile/Containers 


21.2 iOS 文件 权限 简介 


iOS 是 一 个 多 用 户 操作 系统 。“ 用 户 ” 是 一 个 抽象 的 概念 


， 它 代表 对 操作 系统 的 所 有 权 和 使 
式 ， 一 个 组 可 以 包含 多 个 用 户 ， 一 个 


权 。 比 如 ，mobile 用 户 无 法 调用 reboot 命 令 和 


启 iOS， 而 root 用 户 却 可 以 ; “组 ”是 
户 也 可 以 属于 多 个 组 。 


户 的 一 种 组 织 方 


iOs 中 的 每 个 文件 都 有 一 个 属 主 用 户 和 一 个 
以 及 其 他 所 有 人 能 做 什么 。iOS 


属 主 组 ， 或 者 说 这 个 用 户 和 这 个 组 拥有 这 个 文件 ; 每 个 文件 都 


有 一 系列 权限 ， 简 单 地 说 ， 权 限 的 作用 在 于 说 明文 件 的 属 主 用 户 能 做 什么 ， 属 主 组 能 做 什么 ， 
3 位 (bit) 来 表示 文件 的 权限 ， 从 高 位 到 低位 分 别 是 r (read) 权限 、w (write) 权限 ， 以 及 x (execute) 权限 。 文 件 与 用 户 的 关系 存在 以 下 三 种 可 能 性 : 


“ 此 用 户 是 属 主 用 户 ; 
“ 此 用 户 不 是 属 主 用 户 ,但 在 属 主 组 里 ; 


“ 此 用 户 既 不 是 属 主 用 户 ， 又 不 在 属 主 组 里 。 


所 以 需要 用 3*3 位 来 表示 一 个 文件 的 权限 ， 如 果 某 一 位 为 1， 则 这 一 位 代表 的 权限 生效 ， 否 见 
有 具有 r 和 x 权限 ; 同时 ， 二 进 制 的 111101101 转 换 成 十 六 进 制 是 755， 也 是 一 种 常见 的 权限 表示 法 。 


无 效 。 例 如 ，111101101 代 表 rwxr-xr-x， 即 该 文件 的 属 主 用 户 拥有 r、w、x 权 限 ， 而 属 主 组 和 其 他 所 有 人 只 
事实 上 ， 除 r、w、x 权 限 外 ， 文 件 还 可 以 拥有 SUID、SGID 和 sticky 等 特殊 权限 ， 它 们 的 应 用 频率 不 高 ， 因 此 不 占用 单独 的 权限 位 ， 而 是 以 简化 形式 出 现在 x 权限 所 在 的 权限 位 中 。 在 iOS 逆 向 工程 初学 阶 
段 ,一 般 接触 不 到 这 些 特殊 权限 ， 仅 作 简单 了 解 即 可 。 如 果 你 对 它们 感 兴趣 ， 可 以 阅读 http://thegeekdiary.com/what-is-suid-sgid-and-sticky-bit/， 也 可 以 来 http://bbs.iosre.com 参 与 讨论 。 
22 ” iOS 二进制 文件 类 型 


目录 结构 和 文件 权限 也 有 一 些 


Ka 


= 


在 iOS 逆 向 工程 初学 阶段 ， 我 们 的 目标 主要 是 Application、Dynamic Library (以 下 简称 dylib) 和 Daemon 这 三 类 二 进 制 文件 ， 对 它们 的 了 解 越 深 入 ， 逆 向 工程 就 会 越 顺利 。 这 三 类 文件 分 工 不 同 ， 其 
2.2.1 Application 


Application 就 是 我 们 最 熟悉 的 App 了 。 昌 然 对 于 大 多 数 iOS 开 发 者 来 说 ， 工 作 都 是 在 跟 App 打 交道 ， 但 在 iOS 道 向 工程 中 ， 关 注 App 的 侧重 
念 ， 是 开始 逆向 工程 前 的 必 备 工作 。 


1.bundle 


Bm SIE) 


发 还 是 不 尽 相同 的 。 了 解 下 面 的 几 个 App 相 关 概 


图 


bundle 的 概念 来 源 于 NeXTSTEP， 它 不 是 一 个 文件 ， 而 是 一 个 按 某 种 标准 结构 来 组 织 的 目录 ， 
的 ; 在 越狱 iOS 中 常见 的 PreferenceBundle (如 


2-10 所 示 ) ， 可 以 看 成 是 一 种 依附 了 


eecco HARM > 


其 中 包含 了 二 进 制 文件 及 运行 所 需 的 资源 。 正 向 开发 中 常见 的 App 和 framework 都 是 以 pundle 的 形式 存在 
FSettings 的 App， 结 构 与 App 类 似 ， 本 质 也 是 bundle 


22:06 


100% MM 
< Settings Messages 


iMessage 


门 b. a =, = 
Lilia c c 
LENTUM IM 


ages can be sent between iPhone, iPad, 


iPod touch, and Mac. Learn More... 


Text Message Forwarding 


Allow your iPhone text messages to also be 


sent and received on other devices signed in to 
your iMessage account. 


Send Read Receipts 


Allow others to be notified when you have read 
their messages. 


Send as SMS | 


Send as SMS when iMessage is unavailable. 
Carrier messaging rates may apply. 


2-10 PreferenceBundle 


Framework 也 是 bundle， 但 framework 的 bundle 中 存放 的 是 一 个 dylib， 而 不 是 可 执行 文件 。 相 对 来 阅 ，framework 的 地 位 比 App 更 高 ， 因 为 一 个 App 的 绝 大 多 数 功 能 都 是 通过 调用 framework 提 供 
的 接口 来 实现 的 。 将 某 个 bundle 确 立 为 逆向 目标 后 ， 绝 大 多 数 逆 向 线索 都 可 以 在 pundle 内 找到 ， 这 大 大 降低 了 逆向 工程 的 复杂 度 。 


2.App 目 录 结 构 


在 iOs 逆 向 工程 中 ， 对 App 目 录 结 构 的 熟悉 程度 是 决定 工作 效率 的 重要 因素 。App 目 录 的 以 下 三 个 部 分 比较 重要 。 


+ Info.plist 


Info.plist 记 录 了 App 的 基本 信息 ， 如 bundle identifier、 可 执行 文件 名 、 图 标 文件 名 等 。 其 中 bundle identifier 会 在 后 续 章节 的 CydiaSubstrate 中 成 为 tweak 的 重要 配置 信息 。 可 以 通过 Xcode 查看 它 
的 值 ， 如 图 2-11 所 示 。 
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图 2-11 用 Xcode 查看 Info.plist 


也 可 以 通过 Xcode 自 带 的 命令 行 工具 plutil 查 看 它 的 值 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ plutil -р /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/SiriViewService.app/Info.plist | grep CFBundleIdentifier 
"CFBundleIdentifier" => "com.apple.SiriViewService" 


本 书 主要 采用 plutil 的 方式 来 查看 plist 文 件 。 


“ 可 执行 文件 


可 执行 文件 的 重要 性 不 言 而 喻 ， 它 是 App 目 录 下 最 核心 的 部 分 ， 也 是 逆向 工程 最 主要 的 目标 。 同 样 可 以 通过 Xcode 和 plutil 两 种 方式 来 查看 Info.plist， 定 位 可 执行 文件 。 用 Xcode 查 看 Info.plist 的 界面 如 
图 2-12 所 示 。 


也 可 以 通过 Xcode 自 带 的 命令 行 工 具 plutil 查 看 它 的 值 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ plutil -p /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/SiriViewService.app/Info.plist | grep CFBundleExecutable 
"CFBundleExecutable" => "SiriViewService" 


—. Info.plist 


В Info.plist › No Selection 


DTPlatformBuild 
MinimumOSVersion 

Bundle OS Type code 

Localization native development r... 
DTXcodeBuild 

Bundle version 


* qh qh я» я» я» 


> UlDeviceFamily (2 items) 


图 2-12 Jl] Xcode & Æ Info. plist 


` lproj В Ж 


lproj 目 录 下 存放 的 是 各 种 本 地 化 的 字符 串 (strings) ， 是 iOS 逆 向 工程 的 重要 线索 ， 也 可 以 用 plutil 查 看 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ plutil -p /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/SiriViewService.app/en.lproj/Localizable.strings 


"ASSISTANT INITIAL QUERY IPAD" => "What can I help you with?" 
"ASSISTANT BOREALIS EDUCATION SUBHEADER IPAD" => "Just say "Hey Siri" to learn more." 
"ASSISTANT FIRST UNLOCK SUBTITLE FORMAT" => "Your passcode is required when $6 restarts" 


这 部 分 内 容 的 应 用 场景 会 在 第 5 章 出 现 。 
3. 系 统 App VS.StoreApp 


/Applications/ 目 录 存 放 系统 App 和 从 Cydia 下 载 的 App (我 们 把 来 自 Cydia 的 App 视 为 系统 App) ， 而 /vaVmobile/Containers/ 目 录 存 放 的 则 是 StoreApp。 虽 然 两 者 都 是 App， 但 它们 在 如 下 方面 存在 
着 一 些 差别 。 


“目录 结构 


两 种 App 的 bundle 内 部 目录 结构 区 别 不 大 ， 都 含有 Info.plist、 可 执行 文件 、Iproj 目 录 等 ， 但 是 数据 目录 的 位 置 不 同 : StoreApp 的 数据 目录 在 /var/mobile/Containers/Data/ 下 ， 以 mobile 权 限 运行 的 
系统 App 的 数据 目录 在 /var/mobile/ 下 ， 而 以 root 权 限 运行 的 系统 App 的 数据 目录 在 /var/root/ 下 。 


“ 安装 包 格 式 与 权限 


Cydia App 的 安装 包 格 式 一 般 是 deb，StoreApp 的 安装 包 格 式 一 般 是 ipa。 其 中 deb 是 来 自 Debian 的 安装 包 格 式 ， 由 Cydia 作 者 saurik 移 植 到 iOS 中 ， 它 的 属 主 用 户 和 属 主 组 一 般 是 root 和 admin， 能 够 
以 root 权 限 运行 ;而 ipa 是 苹果 为 iOS 推 出 的 专属 App 安 装 包 格式 ， 属 主 用 户 和 属 主 组 都 是 mobile， 只 能 以 mobile 权 限 运行 。 


- P$ (sandbox) 


通俗 地 说 ，iOs 中 的 沙 盒 就 是 一 种 访问 限制 机 制 ， 我 们 可 以 把 它 看 作 是 权限 的 一 种 表现 形式 ， 授 权 文件 (entitlements) 也 是 沙 盒 的 一 部 分 。 它 是 i0S 最 核心 的 安全 组 件 之 一 ， 其 实现 很 复杂 ， 这 里 不 过 
多 讨论 其 细节 。 总 的 来 说 ， 沙 盒 会 将 App 的 文件 访问 范围 限制 在 这 个 App 内 部 ， 一 个 App 一 般 不 知道 其 他 App 的 存在 ， 更 别 说 访问 它们 了 沙 盒 还 会 限制 App 的 功能 ， 例 如 对 iCloud 接 口 的 调用 就 必须 经 过 
沙 使 的 允许 。 


在 初学 阶段 ， 我 们 的 目标 不 是 沙 盒 ， 知 道 有 这 样 一 个 东西 存在 就 够 了 。 在 iOS 逆 向 工程 中 ， 越 狱 本 身 已 经 破除 了 iOS 的 绝 大 多 数 安全 限制 ， 并 对 沙 盒 进行 了 一 定 程度 的 扩充 ， 因 此 我 们 往往 很 容易 忽略 
sandbox 的 存在 ， 从 而 碰 到 一 些 看 似 很 奇怪 的 问题 。 比 如 某 个 tweak 不 能 写 文件 ， 调 用 了 某 个 函数 却 没有 出 现 应 有 的 效果 ， 在 确保 自己 的 代码 没有 问题 的 前 提 下 ， 就 要 回 过 头 来 检查 这 些 问题 是 不 是 因为 权 
限 不 够 ， 或 者 沙 盒 限 制造 成 的 。App 相 关 的 概念 不 是 用 三 言 两 语 可 以 描述 完 的 ， 如 果 有 什么 疑问 ， 可 以 直接 来 http://bbs.iosre.com 交 流 讨论 。 


2.2.2 Dynamic Library 


大 部 分 iOS 开 发 者 的 日 常 工 作 应 该 都 是 写 App， 估 计 很 少 有 人 写 过 dylib， 
“file” 命 令 验证 一 下 ， 如 下 : 


因 


此 对 dylib 的 概念 很 陌 生 。 殊 不 知 ， 在 Xcode 工程 9 


有 导入 的 各 种 framework， 链 接 的 各 种 lib， 


实 本 质 都 是 dylib。 可 以 


snakeninnysiMac:~ snakeninny$ file /Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/System/Library/Frameworks/UIKit.framework/UIKit 
/Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/System/Library/Frameworks/UIKit.framework/UIKit: Mach-O dynamically linked shared library arm 


如 果 把 焦点 转移 到 越狱 iOS 中 ，Cydia 里 的 各 种 tweak 无 一 不 是 以 dylib 的 形式 工作 的 ， 正 是 这 些 tweak 的 存在 让 我 们 能 够 随意 定制 


解 一 些 相关 知识 。 


在 iOs 中 ，lib 分 为 static 和 dynamic 两 种 ， 其 中 static lib 在 编译 | 
动 变 慢 。dylib 则 相对 “智能 ”一 些 ， 它 不 会 改变 可 执行 文件 的 大 小 


价 段 成 为 App 可 执行 文件 的 一 部 分 ， 会 增加 可 执行 文件 的 大 小 。 
， 只 有 当 App 需 


己 的 


因为 App 


BE: 


向 工程 


值得 一 提 的 是 ，dylib 虽 然 充 斥 在 iOS 的 各 个 角落 ， 是 逆 
部 分 。 
录 是 /var/mobile/Containers/Data/ 下 App 对 应 的 Documents 目 录 ， 那 么 
是 /var/mobile/Documents， 那 么 在 : 烈 地 保存 了 一 大 堆 美 


因 


s ESE 


ZNIEJ 


223 Daemon 


目标 类 型 ， 但 
因此 ，dylib 的 权限 是 由 它 寄生 的 那个 App 决 定 的 ， 同 一 个 dylib 寄 生 在 系统 App 利 


， 准 备 回头 细 细 品味 


本 身 并 不 是 可 执行 文件 ， 不 能 独立 运行 ， 只 能 为 别 


为 Instagra 


尺寸 变 大 ， 启 动 时 需要 加 载 的 内 容 


nstoreApp 里 时 的 权限 是 不 同 的 。 例 如 ， 你 写 了 一 个 Instagram 的 tweak,， 上 
m 是 一 个 StoreApp， 这 样 的 操作 是 没有 问题 的 ，tweak 能 够 正常 工作 。 而 妆 


因此 有 必要 了 


iOS。 在 逆向 工程 中 ， 我 们 会 频繁 接触 各 种 dylib， 


zm 
5 


多 ， 所 以 可 能 会 导致 App 启 


到 这 个 dylib 时 ，iOs 才 会 把 它 加 载 进 内 存 ， 成 为 App 进 程 的 一 部 分 。 


的 进程 服务 ， 而 且 它们 寄生 在 别 的 进程 里 ， 成 为 了 这 个 进程 的 一 
来 把 喜欢 的 图 片 保存 在 本 地 ， 如 果 保存 目 
0 果 保存 目录 


和 时， 你 就 会 发 现 /var/mobile/Documents 里 哈 图 片 寺 


b 没 有 一 一 操作 都 被 sandbox 给 禁 掉 了 。 


相信 本 书 的 绝 大 部 分 读者 从 接触 :OS 开发 的 第 一 天 起 ， 就 不 断 被 苹果 灌输 这 样 一 个 观念 一 一 iOS 中 没有 真正 的 后 台 多 任务 ， 你 的 App 在 后 台 将 被 大 大 限制 。 如 果 你 是 一 个 纯粹 的 App Store 开 发 者 ， 坚 信 


并 坚守 这 个 观念 , Я 
一 下 iPhone 上 的 一 些 现象 。 


p 么 它 将 是 你 的 App 通 过 苹果 审核 的 助 推 剂 ; 但 既然 你 阅读 了 这 本 书 ， 想 要 在 学 习 逆向 工程 的 同时 了 解 一 些 官方 文档 没有 阐述 的 事实 ， 那 么 你 就 要 保持 冷静 ， 理 性 思考 。 让 我 们 一 起 


1) 当 我 们 正在 
的 呢 ? 


iPhone 上 网 或 刷 微 博时 来 了 一 个 电话 ， 所 有 : 


2) 对 于 那些 经 常 收 到 垃圾 短信 和 骚扰 电话 的 朋友 来 说， 类 似 于 SMSNinj 


他 操作 会 


立即 中 断 ，iOS 第 一 时 间 将 接听 电话 的 界面 呈现 在 我 们 画 


a 这 样 的 防火 墙 软件 必 不 可 少 。 如 果 它 不 能 常 驻 OS 后 台 ， 怎 么 全 


3) Backgrounder 是 一 款 iOS 5 时 代 的 插件 ， 它 能 够 帮助 App 实 现 真 正 的 
务 ，Backgrounder 怎 么 会 存在 呢 ? 


这 些 现象 无 一 不 说 明 iOS 实 际 上 存在 真正 的 后 台 多 任务 。 那 么 难道 是 苹果 说 错 了 ? 并 不 是 ! WI 
遵 纪 守 法 的 App Store 开 发 者 来 说 ， 可 以 把 iOS 看 作 是 没有 真正 后 台 多 任务 的 系统 ， 
念 。 越 狱 开放 了 iOS 全 文件 系统 ，daemon 也 得 


程 ，Windows 称 Service) 的 


Daemon 为 后 台 运行 而 生 ， 给 上 


要 由 一 个 可 执行 文件 和 一 个 plist 文 件 构成 。iOS 的 根 进程 是 launchd， 它 会 在 开机 时 检查 /System/Library/LaunchDaemons 和 /Library/LaunchDaemons 下 所 有 格式 符合 规定 的 plist 文 件 ， 然 


daemon。 这 里 的 plist 文 件 与 App 中 的 Info.plist 文 件 作 


类 似 ， 即 记录 daem 


有 了 它 ， 我 们 再 也 不 用 担心 


后 台 运 行 。 


FStoreApp 来 说 ， 当 用 户 按 下 home 键 时 ， 
为 你 唯一 能 干 的 事 不 支持 后 台 多 任务 。 但 iOS 源 于 OSX， 
现在 我 们 


以 展 


Ҥ 


BU, 


on 的 基本 信息 ， 如 下 : 


@ 


回 


前 。 如 果 iOs 中 没有 真正 的 后 台 多 任务 ， 系 统 是 如 何 实时 处 理 这 个 来 电 


6 够 实时 地 处 理 并 过 渡 收 到 的 每 一 条 短信 呢 ? 


因为 push 功 能 的 不 给 力 而 漏 收 QQ 消息 啦 ! 如 果 iOS 中 没有 真正 的 后 台 多 任 


进程 就 进入 后 台 了 ， 大 多 数 功 能 都 会 被 暂停 ， 也 就 是 说 ， 对 于 
后 者 又 跟 所 有 类 UNIX 操 作 系 统一 样 ， 有 daemon ( 即 守护 进 


户 提供 了 各 种 “守护 ”， 如 imagent 保 障 了 iMessage 的 正确 收发 ，mediaserverd 处 理 了 几乎 所 有 的 音频 、 视 频 ，syslogd 则 用 于 记录 系统 日 志 等 。iOS 中 的 daemon 主 


后 启动 对 应 的 


snakeninnys-MacBook:~ snakeninny$ plutil -p /Users/snakeninny/Code/iOSSystemBinaries/ 8.1.1 iPhone5/System/Library/LaunchDaemons/com.apple.imagent.plist 


"WorkingDirectory" => "/tmp" 

"Label" => "com.apple.imagent" 

"JetsamProperties" => ( 
"JetsamMemoryLimit" => 3000 

} 

"EnvironmentVariables" => { 
"NSRunningFromLaunchd" => "1" 

š 

"POSIXSpawnType" => "Interactive" 

"MachServices" => ( 
"com.apple.hsa-authentication-server" => 1 
"com.apple.imagent.embedded.auth" => 1 
"com.apple.incoming-call-filter-server" => 1 

} 

"UserName" => "mobile" 

"RunAtload" => 1 

"ProgramArguments" => [ 


0 => "/System/Library/PrivateFrameworks/IMCore.framework/imagent.app/imagent" 


] 
"KeepAlive" => { 
"SuccessfulExit" => 0 
š 
} 


相对 于 App，daemon 提 供 的 功能 要 底 


层 得 多 ， 逆 向 难度 也 要 大 得 多 ， 随 意 改动 造成 的 后 果 当 然 也 就 严 时 
Bin; 当 你 逆向 了 几 个 App， 有 了 一 定 的 心得 和 积累 后 再 挑战 这 些 daemon 才 是 比较 明智 的 选择 。 相 比 App， 
上 的 第 一 款 电话 录音 软件 ”Audio Recorder 就 是 通过 逆向 mediaserverd 这 个 


多 ， 所 以 白 苹果 的 惨案 才 会 B 


Ex: 


时 有 发 生 。 在 iOs 逆 向 工程 初学 阶段 ， 请 不 要 把 daemon 当 作 练 习 


得 
i£ 
їй 


daemon 实 现 的 。 


向 daemon 花 费 的 时 间 和 精力 会 更 多 ， 但 更 多 的 付出 


一 定 会 带 来 更 丰厚 的 回报 。 例 如 ，“iOS 


介绍 了 iOS 系 统 结构 和 常见 的 二 进 制 文件 类 型 ， 它 们 都 是 App store 开发 者 不 需要 了 解 也 接触 不 到 的 知识 ， 在 学 习 iOS 逆 向 工程 时 很 容易 形成 概念 


23 We 
жаа 
但 苹果 官方 闭口 不 提 的 iOS 系 统 级 知识 点 ， 从 而 为 App StoreFRETFOSMA LENE. 


区 。 本 章 旨 在 科普 那些 在 逆向 工程 中 非常 


TT 


若 本 章 所 涉及 的 每 一 个 知识 点 深究 下 去 都 可 以 扩充 成 整整 一 章 ， 但 作为 逆向 工程 初学 者 ， 了 解 这 些 概念 


何 疑 问 或 者 心得 ， 都 欢迎 来 http://bbs.iosre.com 跟 大 家 交流 。 


后 知道 磁 到 问题 应 该 往 哪 个 方 | 


工具 篇 


二 部 分 


向 寻求 解决 方案 ， 就 达到 了 本 章 的 目的 。 如 果 对 上 面 的 内 容 有 任 


. 第 3 章 OSX 工 具 集 
- 第 4 章 iOS 工 具 集 
第 一 部 分 介绍 了 北向 工程 的 基本 概念 ， 从 第 二 部 分 开始 ， 将 介绍 在 iOS 北 向 工程 中 用 到 的 一 系列 工具 。 


相对 于 常规 AppStore 开 发 ，iOS 北 向 工程 工具 的 最 大 特点 就 是 “ 杂 ”。 在 AppStore 开 发 中 ， 一 个 Xcode 就 可 以 完成 绝 大 部 分 工作 ， 它 是 苹果 的 录 系 出 身 ， 下 载 、 安 装 和 使 用 都 非常 方便 。 至 于 其 他 的 一 些 插 
件 、 工 具 ， 所 提供 的 只 是 一 些 锦上添花 的 功能 ， 在 开发 中 并 不 是 必需 的 。 


而 在 不 那么 常规 的 iOS 逆 向 工程 中 ， 我 们 却 不 得 不 面 对 一 长 串 叫 起 来 都 嫌 绕 口 的 工具 。 这 就 如 同 面前 摆 着 两 张 餐 桌 ， 一 张 上 摆 着 一 碗 面 ， 碗 上 只 放 着 一 双 和 合子 ， 它 叫 Xcode; MH-KRFLEA AIM 
和 和 牛排， 旁边 横 七 竖 八 地 堆 满 了 蟹 八 件 、 刀 、 又 ， 等 等 ， 其 中 的 几 个 大 块头 分 别 叫 Theos、Reveal、IDA-…… 


这 些 工 具 相 互 之 间 并 没有 紧密 耦合 、 互 相依 赖 的 关系 ， 整 合 度 远 没有 Xcode 高 ， 因 此 在 使 用 过 程 中 得 根据 需要 把 它们 手动 组 合 起 来 。 第 二 部 分 不 可 能 涵盖 所 有 逆向 工程 工具 ， 不 过 相信 大 家 在 完全 吃透 本 
书 内 容 之 后 ， 一 定 会 具备 举一反三 的 能 力 ， 届 时 可 根据 自己 的 需求 寻找 对 应 的 工具 ， 也 可 以 来 http://bbs.ioste.com 上 交流 你 的 心得 。 


另外 ， 因 为 需要 介绍 的 工具 颇 多 ， 略 显 杂 乱 ， 所 以 第 二 部 分 的 内 容 分 成 两 章 ， 分 别 是 DOSX 工 具 集 和 iOS 工 具 集 。 本 章 所 使 用 的 iDOS 设 备 是 iPhone 5，iOS 版 本 是 8.1。 
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iOSs 逆 向 工程 用 到 的 一 系列 工具 功能 不 同 ， 角 色 各 异 ， 它 们 在 OSX 上 完成 的 主要 是 开发 和 调试 工作 。iOS 干 这 个 活 儿 有 些 吃力 ， 毕 竟 屏 幕 尺 十 在 这 摆 着 呢 。 


本 章 主要 介绍 的 工具 有 4 个 : class-dump、Theos、Reveal、IDA， 其 他 的 都 是 配套 使 用 的 辅助 工具 。 


3.1 class-dump 


class-dump， 顾 名 思 义 ， 就 是 用 来 dump 目 标 对 象 的 class 信 息 的 工具 。 它 利用 Objective-C 语 言 的 runtime 特 性 ， 将 存储 在 Mach-O 文 件 中 的 头 文件 信息 提取 出 来 ， 并 生成 对 应 的 .h 文 件 。 


class-dump 的 用 法 比较 简单 ， 首 先 去 http://stevenygard.com/projects/class-dump 下 载 最 新 版 的 class-dump， 如 图 3-1 所 示 。 


Class-dump 


This is a command-line utility for examining the Objective-C runtime information stored in Mach-D files. It generates 
declarations for the classes, categories and protocols. This is the same information provided by using 'otool -ov’, but 


presented as normal Objective-C declarations, so it is much more compact and readable. 


Why use class-dump? 


It's a great tool for the curious. You can look at the design of closed source applications, frameworks, and bundles. 
Watch the interfaces evolve between releases. Experiment with private frameworks, or see what private goodies are 
hiding in the AppKit. Learn about the plugin API lurking in Mail.app. 


Download 


Current version: 3.5 (64 bit Intel) 
Requires Mac OS X 10.8 or later. 


* class-dump-5.5.tar.bz2 


图 3-1 class-dump i H 


下 载 class-dump-3.5.dmg 后 ， 将 dmg 文件 里 的 class-dump 复 制 到 “/usr/bin” 下 ， 然 后 在 Terminal 中 执行 “sudo chmod 777/usr/bin/class-dump” 命 令 赋 予 其 执行 权限 。 运 行 class-dump， 即 可 
看 到 它 的 一 些 基本 参数 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ class-dump 

class-dump 3.5 (64 bit) 

Usage: class-dump [options] <mach-o-file> 

where options are: 

-a show instance variable offsets 
-А show implementation addresses 
--arch «arch» choose a specific architecture from a universal binary (ppc, ppc64, 1386, x86 64, armv6, armv7, armv7s, arm64) 
-C <regex> only display classes matching regular expression 


-f «str» find string in method name 

-H generate header files in current directory, or directory specified with -o 
-I Sort classes, categories, and protocols by inheritance (overrides -s) 

-о «dir» output directory used for -H 

=f recursively expand frameworks and fixed VM shared libraries 

-s sort classes and categories by name 

-S sort methods by name 

=E suppress header in output, for testing 

--list-arches list the arches in the file, then exit 

--sdk-ios specify iOS SDK version (will look in /Developer/Platforms/iPhoneOS .platform/Developer/SDKs/iPhoneOS<version>.sdk 
—-sdk-mac specify Mac OS X version (will look in /Developer/SDKs/MacOSX«version».sdk 
--sdk-root specify the full SDK root path (or use --sdk-ios/--sdk-mac for a shortcut) 


class-dump 的 对 象 是 Mach-O 格 式 的 二 进 制 文件 ， 如 Framework 的 库 文 件 和 App 的 可 执行 文件 。 下 面 以 笔者 的 一 个 App 为 例 ， 来 看 看 class-dump 的 完整 流程 。 


1. 定 位 App 的 可 执行 文件 


首先 把 带 class-dump 的 App 拷 贝 到 OSX 中 ， 笔 者 放 在 了 “/Users/snakeninny” 下 。 然 后 在 Terminal 中 进入 App 所 在 的 


Xcode 


带 的 plutil 工 具 查看 Info.plist 中 


的 “CFBundleExecutable” 字 段 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ cd /Users/snakeninny/SMSNinja.app/ 
snakeninnysiMac:SMSNinja.app snakeninny$ 
snakeninnysiMac:SMSNinja.app snakeninny$ plutil -p Info.plist | grep CFBundleExecutable 


"CFBundleExecutable" 


=> "SMSNinja" 


当前 目录 下 的 “SMSNinja” 就 是 App 的 可 执行 文件 。 


2.class-dump 可 执行 文件 


把 SMSNinja 的 头 文件 class-dump 到 “/path/to/headers/SMSNinja/” 下 ， 并 将 头 文件 内 容 按 名 字 排 序 ， 命 令 如 下 : 


snakeninnysiMac:SMSNinja.app snakeninny$ class-dump -S -s -H SMSNinja -o /path/to/headers/SMSNinja/ 


大 家 可 以 


自己 的 App 实 践 一 下 ， 然 后 


class-dump 的 头 文件 对 比 源 文 件 中 的 头 文件 ， 是 不 是 十 分 相似 ?除了 一 些 参数 类 型 被 改 成 了 id， 参 数 名 


吧 ?”class-dump 帮 有 我 们 排序 后 ， 头 文件 的 可 读 性 甚至 变 高 了 。 


使 


透 过 这 些 头 文件 ， 闭 源 App 的 程序 架构 就 能 初 现 端倪 了 ， 经 验 丰富 的 开发 人 员 可 以 从 中 了 解 非常 多 的 信息 ， 这 些 信息 是 iOs 逆 向 工程 的 基础 。 不 过 现在 的 App 工 程 越 来 越 大 ， 而 且 还 在 不 停 地 引 上 
因此 经 常会 发 现 class-dump 出 来 了 成 百 上 和 干 个 头 文件 ,虽然 靠 人 工 及 经 验 一 点 点 地 分 析 是 很 好 的 练习 方式 ， 但 过 程 实在 太 复杂 :让 人 头 大 。 在 后 面 的 章节 ， 


代码 ， 
精准 地 定位 目标 函数 。 


值得 注意 的 是 ， 从 AppStore 下 载 的 App 都 是 经 过 加 密 的 ， 可 执行 文件 被 加 上 了 一 层 “ 壳 ” ， 就 像 是 一 颗 硬 硬 的 核桃 ，class-dump 应 付 不 了 这 样 的 文件 。 你 想 想 ， 我 们 试 医 
来 取 肉 ， 别 说 解 饱 ， 没 把 钵 子 夹 坏 就 算 不 错 啦 ! 此 时 使 
续 关 注 http://bbs.iosre.com。 


3.2 Theos 


3.24 Theos 简 介 


class-dump 分 析 自 己 的 App 没 有 太 大 意义 ， 我 们 当然 不 会 止步 于 此 : 同样 是 闭 源 应 


，Class-dump 既 然 能 提取 


arg1、arg2 表 示 之 外 ， 几 乎 就 是 一 模 一 样 的 


己 App 里 的 头 文件 ， 自 然 也 能 提取 别人 App 里 的 头 文件 ! 


第 三 方 


将 通过 各 种 工 


逐步 缩小 目标 范围 


， 最 后 


class-dump 这 样 一 个 镖 子 


想 吃 核桃 ， 还 得 先 用 别 的 工 


182541 


class-dump 看 上 去 会 “失效 ”。 才 行 ， 


体 的 内 容 下 一 章 就 会 揭晓 。 关 于 class-dump 的 更 多 用 法 ， 请 持 


Theos 是 一 个 越狱 开发 工 


包 ， 由 iOS 越 狱 界 知名 人 士 Dustin Howett (@DHowett) 开发 并 分 享 到 GitHub 上 。Theos 与 其 他 越狱 开发 工 . 


值得 一 提 的 是 ， 越 狱 开 发 中 常 
不 算 高 的 Theos， 当 你 手动 完成 一 个 又 一 个 练习 时 ， 对 逆向 工程 的 理解 一 定 会 更 深 。 


这 里 插播 一 个 关于 DHowett 的 小 段子 : DHowett 的 全 名 叫 Dustin L.Howett， 他 是 个 很 有 个 性 的 少年 ， 出 生 在 美国 宾 夕 法 


单 、 编 译 发 布 简单 ， 可 以 让 使 


者 把 精力 都 放 在 开发 工作 上 去 。 


相 比 ， 最 大 的 特点 就 是 简单 : 下 载 安装 简单 、Logos 语 法 简 


的 另 一 工具 iOSOpenDev 是 整合 在 Xcode 里 的 ， 熟 悉 Xcode 的 朋友 可 能 会 对 它 更 感 兴趣 。 但 逆向 工程 接触 底 


屋 知 识 较 多 ， 很 多 东西 无 法 


zt, 


整合 度 并 


因此 推荐 使 


已 亚 州 的 郊区 ， 从 小 痴迷 电脑 。 大 学 读 了 不 到 一 年 ， 


不 愿意 好 好 听 了 ， 


自然 也 就 跟 不 上 。 


以 Cy 开 头 ， 而 这 种 命名 方式 是 Sauri 
了 。 之 后 Dustin 离 开 了 SaurikIT， 进 入 了 另 一 家 创业 公司 DailyBooth ， 但 这 家 公司 经 营 不 善 ， 没 多 久 就 倒闭 了 ， 他 就 又 回 
金山 ， 并 且 在 当地 一 家 不 错 的 公司 Airbnb 找 到 了 一 份 新 工作 。 在 我 眼 里 ，Dustin 敢 想 敢 干 、 敢 爱 敢 恨 、 敢 作 敢 当 ， 真 是 “让 我 们 红尘 作 伴 活 得 潇 


3.2.2 ”安装 Theos 


御 


1. 安 装 Xcode 与 Command Line Tools 


觉得 老师 讲 得 没意思 ， 就 


更 重要 的 是 ， 他 和 一 个 姑娘 展开 了 疯狂 的 异地 恋 ， 于 是 就 干脆 辍学 ， 搬 到 了 那个 姑娘 的 所 在 地 加 州 ， 并 求职 进 了 saurik 的 公司 SaurikIT。DHowett 的 早期 作品 CyDelete 
的 ， 说 明 DHowett 的 作品 得 到 了 Saurik 的 认可 ， 也 足见 DHowett 与 Saurik 关 系 之 好 。 但 遗憾 的 是 ， 在 Dustin 轰 学 后 ， 他 和 女 朋 友之 间 开 始 出 现 问题 ， 最 后 分 道 扬 镶 
家 待业 了 。 过 了 没 多 久 ，Dustin 爱 上 了 另 一 个 女孩 ， 所 以 他 又 为 了 这 个 姑娘 搬 回 旧 
酒 酒 ”， 可 以 说 是 一 个 风 一 般 的 男子 ， 


令 人 十 分 崇拜 。 


一 般 来 说 ，iOS 开 发 者 都 会 安装 Xcode， 其 中 附带 了 Command Line Tools。 如 果 还 没有 安装 Xcode， 请 到 Mac AppStore 免 费 下 载 。 如 果 安 装 了 多 个 Xcode， 需 要 使 用 xcode-select 命 令 指定 一 个 活动 


Xcode， 即 Theos 默 认 使 用 的 Xcode。 假 设 安装 了 3 个 Xcode， 并 将 它们 分 别 命名 为 Xcode1.app、Xcode2.app 和 Xcode3.app， 若 要 指定 Xcode3 为 活动 Xcode， 则 运行 如 下 命令 : 


snakeninnys-MacBook:~ snakeninny$ sudo xcode-select -s /Applications/Xcode3.app/Contents/Developer 


2. 下 载 Theos 


从 GitHub 上 下 载 Theos， 操 作 如 下 : 


snakeninnysiMac:~ snakeninny$ export THEOS=/opt/theos 


snakeninnysiMac:~ snakeninny$ sudo git clone git://github.com/DHowett/theos.git $THEOS 

Password: 

Cloning into '/opt/theos'http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
remote: Counting objects: 4116, done. 

remote: Total 4116 


(delta 0), reused 0 (delta 0) 


Receiving objects: 100% (4116/4116), 913.55 KiB | 15.00 KiB/s, done. 
Resolving deltas: 100% (2063/2063), done. 
Checking connectivityhttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... done 


3. 配 置 ldid 


ldid 是 专门 用 来 签名 iOS 可 执行 文件 的 工具 ， 用 以 在 越狱 \OS 中 取代 Xcode 自 带 的 codesign。 从 http://joedj.net/ldid 下 载 Idid， 把 它 放 在 “/opt/theos/bin/” 下 ， 然 后 用 以 下 命令 赋予 它 可 执行 权限 : 


snakeninnysiMac:~ snakeninny$ sudo chmod 777 /opt/theos/bin/ldid 


4. 配 置 CydiaSubstrate 


首先 运行 Theos 的 自动 化 配置 脚本 ， 操 作 如 下 : 


snakeninnysiMac:~ snakeninny$ sudo /opt/theos/bin/bootstrap.sh substrate 
Password: 
Bootstrapping CydiaSubstratehttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 
Compiling iPhoneOS CydiaSubstrate stubhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... default target? 
failed, what? 
Compiling native CydiaSubstrate stubhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Generating substrate.h headerhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 


此 处 会 遇 到 Theos 的 一 个 bug， 它 无 法 自动 生成 一 个 有 效 的 libsubstrate.dylib 文 件 ， 需 要 手动 操作 。 解 决 方法 很 简单 : 首先 在 Cydia 中 搜索 安装 “CydiaSubstrate” (如 


3-2 所 示 ) 。 


D 


erco 中 国联 通 08:23 © 89% ШИШ 
< Installed Details Modify 


Cydia Substrate 
0.9.5101 


<. Change Package Settings > 
> Author Jay Freeman (saurik) > 


Installed Package 


Version 0.9.5101 


__ Filesystem Content > 


mobilesubstrate 
Cydia/Telesphoreo - System 


图 3-2 CydiaSubstrate 


然后 用 iFunBox 或 scp 等 方式 将 iOS 上 的 “/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate” 拷 贝 到 OSX 中 ， 将 其 重 命名 为 libsubstrate.dylib 后 放 
到 “/opt/theos/lib/libsubstrate.dylib” 中 ， 蔡 换 掉 无 效 的 文件 即 可 。 


5. 配 置 dpkg-deb 


deb 是 越狱 开发 安装 包 的 标准 格式 ，dpkg-deb 是 一 个 用 于 操作 deb 文 件 的 工具 ， 有 了 这 个 工具 ，Theos 才 能 正确 地 把 工程 打包 成 为 deb 文 件 。 


从 https://raw.githubusercontent.com/DHowett/dm.pl/master/dm.p| 下 载 dm.pl， 将 其 重 命名 为 dpkg-deb 后 ， 放 到 “/opt/theos/bin/” 目 录 下 ， 然 后 用 以 下 命令 赋予 其 可 执行 权限 : 


snakeninnysiMac:~ snakeninny$ sudo chmod 777 /opt/theos/bin/dpkg-deb 


6. 配 置 Theos NIC templates 


Theos NIC templates 内 置 了 5 种 Theos 工 程 类 型 的 模板 ， 方 便 创建 多 样 的 Theos 工 程 。 除 此 以 外 ， 还 可 以 从 https://github.com/DHowett/theos-nic-templates/archive/master.zip 获 取 额 外 的 5 种 模 
板 ， 下 载 后 将 解压 得 到 的 5 个 .tar 文 件 复制 到 “/opt/theos/templates/iphone/” 下 即 可 。 


32.3 ”Theos 用 法 介绍 


1. 创 建 工程 


1) 更 改 工 作 目 录 至 常用 的 iOS 工 程 目录 (如 笔者 的 是 “/Users/snakeninny/Code/”) ， 然 后 输入 “/opt/theos/bin/nic.pl”， 启 动 NIC (New Instance Creator) ， 如 下 : 


snakeninnysiMac:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 

] iphone/application 

] iphone/cydget 

] iphone/framework 

] iphone/library 

] iphone/notification center widget 
] iphone/preference bundle ~ 

] iphone/sbsettingstoggle 

] iphone/tool 

] iphone/tweak 

0.] iphone/xpc service 


aj 


以 看 到 ， 这 里 共有 10 种 模板 可 供 选 择 ， 其 中 1、4、6、8、9 是 Theos 的 自 带 模板 ，2、3、5、7、10 是 上 一 小 节 下 载 的 。 在 逆向 工程 初级 阶段 ， 所 开发 程序 的 主要 类 型 是 tweak， 其 他 模板 的 用 法 可 以 
来 http://bbs.iosre.com 讨 论 交流 。 


2) 选择 “9”， 即 创建 一 个 tweak 工 程 ， 命 令 如 下 : 


Choose a Template (required): 9 


3) 输入 tweak 的 工程 名 称 ， 命 令 如 下 : 


Project Name (required): iOSREProject 


4) 输入 deb 包 的 名 字 (类 似 于 bundle identifier) ， 命 令 如 下 : 


Package Мате [com.yourcompany.iosreproject]: com.iosre.iosreproject 


5) 输入 tweak 作 者 的 名 字 ， 命 令 如 下 : 


Author/Maintainer Мате [snakeninny] : snakeninny 


6) 输入 “MobileSubstrate Bundle filter”， 也 就 是 tweak 作 用 对 象 的 bundle identifier， 命 令 如 下 : 


[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.springboard 


7) 输入 tweak 安 装 完成 后 需要 重启 的 应 用 ， 以 进程 名 表示 ， 如 下 : 


[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]: SpringBoard 
Instantiating iphone/tweak in iosreproject/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 


简单 的 7 步 完 成 之 后 ， 一 个 名 为 iosreproject 的 文件 夹 就 在 当前 目录 生成 了 ， 该 文件 夹 里 就 是 刚 创建 的 tweak 工 程 。 


2. 定 制 工程 文件 


Theos 创 建 tweak 工 程 非常 方便 ， 但 简洁 的 工程 框架 下 目前 还 是 些 粗糙 的 内 容 ， 需 要 进一步 加 工 相关 的 文件 。 先 来 看 看 刚刚 生成 的 工程 目录 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1 


total 40 

-rw-r--r-- 1 snakeninny staff 184 Dec 3 09:05 Makefile 
-rw-r--r-- 1 snakeninny staff 1045 Dec 3 09:05 Tweak.xm 
-rw-r--r-- 1 snakeninny staff 223 Dec 3 09:05 control 

-rw-r--r-- 1 snakeninny staff 57 Dec 3 09:05 iOSREProject.plist 
lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -> /opt/theos 


除去 一 个 指向 Theos 目 录 的 符号 链接 外 ， 只 有 4 个 文件 ， 从 工程 复杂 度 来 说 完全 不 会 吓 跑 初学 者 ， 反 而 会 让 我 们 跃跃欲试 ，Theos 的 产品 体验 做 得 很 好 。 


古语 云 : “一 粒 米 中 藏 世界 ， 半 边 锅 内 者 乾坤 ”。4 根 顶 梁 柱 就 足以 撑 起 tweak 的 毛坯 房 ， 但 漂亮 的 tweak 离 不 开 我 们 的 精装 修 ， 这 4 个 文件 的 内 容 可 是 大 有 玄机 ! 


(1) Makefile 


Makefile 文 件 指定 工程 用 到 的 文件 、 框 架 、 库 等 信息 ， 将 整个 过 程 自动 化 。iOSREProject 的 Makefile 内 容 如 下 : 


include theos/makefiles/common.mk 
TWEAK_NAME = iOSREProject 
iOSREProject FILES = Tweak.xm 
include $ (ТНЕОЅ МАКЕ PATH) /tweak.mk 
after-install:: 

install.exec "killall -9 SpringBoard" 


下 面 来 逐 行 解读 。 


include theos/makefiles/common.mk 


固定 写法 ， 不 要 更 改 。 


TWEAK_NAME = iOSREProject 


tweak 的 名 字 ， 即 用 Theos 创 建 工程 时 指定 的 “Project Name” ， 跟 control 文 件 中 的 “Name” 字段 对 应 ， 不 要 更 改 。 


iOSREProject FILES = Tweak.xm 


tweak 包 含 的 源 文件 (不 包括 头 文件 ) ， 多 个 文件 间 以 空格 分 隔 ， 如 : 


iOSREProject FILES = Tweak.xm Hook.xm New.x ObjC.m ObjC++.mm 


可 以 按 需 更 改 。 


include $ (ТНЕОЅ MAKE PATH) /tweak.mk 


根据 不 同 的 Theos 工 程 类 型 ， 通 过 include 命 令 指定 不 同 的 .mk 文件 ; 在 逆向 工程 初级 阶段 ， 我 们 开发 的 一 般 是 Application、Tweak 和 Tool 三 种 类 型 的 程序 ， 它 们 对 应 的 .mk 文件 分 别 是 
application.mk、tweak.mk 和 tool.mk， 可 以 按 需 更改 。 


after-install:: 
install.exec "К111а11 -9 SpringBoard" 


读者 应 该 从 字面 意思 就 能 对 这 两 行 的 作用 猜 个 八 九 不 离 十 一 一 在 tweak 安 装 之 后 杀 掉 SpringBoard 进 程 ， 好 让 CydiaSubstrate 在 进程 启动 时 加 载 对 应 的 dylib。 


是 不 是 非常 简单 ? Makefile 里 的 默认 内 容 确实 非常 简单 ， 但 有 点 简单 过 头 了 。 如 何 指定 SDK 版 本 ”怎么 导入 framework? lib 文 件 在 哪里 链接 ”作为 iOs 开 发 者 的 你 一 定 会 提出 这 些 问题 。 别 急 别 急 ， 面 
包 会 有 的 ， 牛 奶 也 会 有 的 。 


ARCHS = armv7 arm64 


上 面 的 语句 在 表示 不 同 的 处 理 器 架构 时 ， 其 间 以 空格 分 隔 。 值 得 注意 的 是 ， 采 用 arm64 架 构 的 App 不 兼容 armv7/armv7s 架 构 ， 必 须 适 配 arm64 架 构 的 dylib。 在 绝 大 多 数 情况 下 ， 这 里 固定 填写 “arm7 
arm64” 就 行 了 。 


- 指定 SDK 版 本 


TARGET = iphone:Base SDK:Deployment Target 


ШШ: 


ТАВСЕТ = iphone:8.1:8.0 


上 面 的 语句 即 指定 采用 8.1 版 本 的 SDK， 且 发 布 对 象 为 iOS 8.0 及 以 上 版 本 。 也 可 以 把 “Base SDK” 设 置 为 “latest”， 指 定 以 Xcode 附带 的 最 新 版 本 SDK 编 译 ， 如 : 


TARGET = iphone:latest:8.0 


+ A framework 


iOSREProject FRAMEWORKS = framework name 


例如 : 


iOSREProject FRAMEWORKS = UIKit CoreTelephony CoreAudio 


上 面 的 语句 所 展示 的 功能 没什么 多 说 的 ， 但 既然 是 tweak 开 发 ， 很 多 朋友 关注 的 应 该 是 如 何 导 入 private frameworkiE? 很 简单 ， 用 下 面 的 语句 即 可 : 


iOSREProject PRIVATE FRAMEWORKS = private framework name 


例如 : 


iOSREProject PRIVATE FRAMEWORKS = AppSupport ChatKit IMCore 


BARESTA "PRIVATE" ， 但 有 一 点 要 注意 : private framework 是 AppStore 开 发 所 不 允许 使 用 的 ， 它 的 内 容 在 每 个 iOS 版 本 之 间 可 能 发 生变 化 ， 在 导入 之 前 ,一 定 要 确定 导入 的 private 
framework 确 实 存在 。 举 一 个 例子 ， 如 果 你 的 tweak 打 算 兼容 jiOs 7 和 iOS 8 两 个 版 本 ， 那 么 Makefile 可 写成 如 下 内 容 : 


ARCHS = armv7 arm64 
TARGET = iphone:latest:7.0 
include theos/makefiles/common.mk 
TWEAK NAME = iOSREProject 
iOSREProject FILES = Tweak.xm 
iOSREProject PRIVATE FRAMEWORK = BaseBoard 
include $ (THEOS MAKE PATH) /tweak.mk 
after-install:: 
install.exec "killall -9 SpringBoard" 


上 面 的 语句 可 以 成 功 编译 和 链接 ， 并 不 会 报错 。 但 是 ， 因 为 BaseBoard 这 个 private framework 只 存在 于 8.0 及 以 上 版 本 的 SDK 里 ， 在 iOS 7 里 是 没有 的 ， 所 以 这 个 tweak 在 iOs 7 中 会 因 找 不 到 
framework 而 无 法 正常 工作 。 这 种 情况 可 以 通过 弱 链 接 (谷歌 搜索 “makefile weak linking" ) 或 dlopen(0、dlsym0 和 dlclose0 系 列 函 数 动态 调用 private framework 来 解决 。 


+ 链接 Mach-O 对 象 (Mach-O object) 


iOSREProject LDFLAGS = -1x 


Theos 采 用 GNU Linker 来 链接 Mach-O 对 象 ， 包 括 .dylib、.a 和 .0o。 在 Terminal 中 输入 “man lId”， 定 位 到 “-lx” 部 分 ， 它 是 这 么 写 的 : 


“-lx This option tells the linker to search for libx.dylib or libx.a in the library search path.If string x is of the form y.o,then that file is searched for in the same places,but without prepending lib” or 


appending.a' or`.dylib” to the filename." 


大 致意 思 是 说 ，-|x 代 表 链 接 libx.a 或 iibx.dylib， 即 给 “x“” 加 上 “ip” 的 前 缀 ， 以 及 “.a” 或 “dylib” 的 后 缀 ; 如 果 x 是 “y.o” 的 形式 ， 则 直接 链接 yo， 不 加 任何 前 缀 或 后 缀 。 由 图 3-3 可 知 ，iOS 支 持 


链接 的 Mach-O 对 象 全 是 以 “libx.dylib” 和 “y.o” 形 式 命名 的 ， 完 全 兼容 GNU Linker, 


Choose frameworks and libraries to add: 


' libBBUpdaterDynamic.dylib 
) libbsm.0.dylib 
| libbsm.dylib 
) libbz2.1.0.dylib 
) libbz2.dylib 
) libc++.1.dylib 

J libc++.dylib 

J libc++abi.dylib 
) libc.dylib 

J libcache.dylib 

2 libcharset.1.0.0.dylib 

2 libcharset.1.dylib 
| libcharset.dylib 
‘libcmph.dylib 
‘libcommonCrypto.dylib 
‘libcompiler rt.dylib 


Add Other... 


图 3-3 ”链接 Mach-O 对 象 


这 样 ， 链 接 Mach-O 对 象 就 很 方便 了 。 例 如 ， 要 链接 libsqlite3.0.dylib、libz.dylib 和 dylib1.o， 像 下 面 这 么 写 就 可 以 了 : 


iOSREProject LDFLAGS = -lz -lsqlite3.0 -dylibl.o 


稍 后 还 有 一 个 字段 需要 介绍 ， 但 一 般 来 说 ，Makefile 中 定义 了 以 上 字段 就 已 经 完全 够 用 了 ; 更 详细 的 Makefile 介 绍 ， 可 以 参 
阅 http://www.gnu.org/software/make/manual/html_node/Makefiles.html。 


(2) Tweak.xm 


Theos 创 建 tweak 工 程 ， 默 认 生成 的 源 文件 是 Tweak.xm。 “xm” BAY "х" 代表 这 个 文件 支持 Logos 语 法 ， 如 果 后 缀 名 是 单独 一 个 “x” ， 说 明 源 文件 支持 Logos 和 (语法 ; 如 果 后 缀 名 是 “xm”， 说 
明 源 文件 支持 Logos 和 C/C++ 语法 , 与 “m” 和 “mm” 的 区 别 类 似 。Tweak.xm 的 内 容 如 下 : 


/* How to Hook with Logos 

Hooks are written with syntax similar to that of an Objective-C @implementation. 
You don't need to #include <substrate.h>, it will be done automatically, as will 
the generation of a class list and an automatic constructor. 

shook ClassName 

// Hooking a class method 


+ (id)sharedInstance { 
return %orig; 


// Hooking an instance method with an argument. 
- (void)messageName: (int) argument { 
Slog; // Write a message about this call, including its class, name and arguments, to the system log. 
sorig; // Call through to the original function with its original arguments. 
sorig(nil); // Call through to the original function with a custom argument. 
// If you use %orig(), you MUST supply all arguments (except for self and cmd, the automatically generated ones.) 


// Hooking an instance method with no arguments. 
- (id)noArguments { 

Slog; 

id awesome = $orig; 

[awesome doSomethingElse]; 

return awesome; 


// Always make sure you clean up after yourself; Not doing so could have grave consequences! 
Send 


x 


这 就 是 最 基本 的 Logos 语 法 ， 包 含 %hook、%log、%orig 这 3 个 预 处 理 指令 ， 它 们 的 作用 如 下 。 


+ Yhook 


指定 需要 hook 的 class， 必 须 以 %end 结 尾 ， 如 下 : 


shook SpringBoard 
- (void) menuButtonDown: (id) down 
{ 


NSLog(8"You've pressed home button."); 
sorig; // call the original _menuButtonDown: 


de 


这 段 代 码 的 意思 是 钩 住 (hook) SpringBoard 类 里 的 menuButtonDown: 函 数 ， 先 将 一 句 话 写 入 syslog， 再 执行 函数 的 原始 操作 。 


E 


该 指令 在 %hook 内 部 使 用 ， 将 函数 的 类 名 、 参 数 等 信息 写 入 syslog, 可 以 以 %log([(<type>)<expr>,http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...]) 的 格式 追加 其 他 打印 信息 ， 如 下 : 


shook SpringBoard 
- (void) menuButtonDown: (id) down 
{ 


%log((NSString *)@"iOSRE", (NSString *)@"Debug") ; 
sorig; // call the original menuButtonDown: 


gow 


end 

打印 结果 如 下 : 

Dec 3 10:57:44 FunMaker-5 SpringBoard[786]: -[<SpringBoard: 0x150eb800» _menuBu-ttonDown : 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 
Timestamp: 75607608282 Е 
Total Latency: 20266 us 
SenderID: 0x0000000100000190 
BuiltIn: 1 
AttributeDataLength: 16 
AttributeData: 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
ValueType: Absolute 
EventType: Keyboard 
UsagePage: 12 
Usage: 64 
Down: 1 
十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 
1: iOSRE, Debug 

* Yorig 


该 指令 在 %hook 内 部 使 用 ， 执 行 被 钧 住 (hook) 的 函数 的 原始 代码 ， 如 下 : 


shook SpringBoard 
- (void) menuButtonDown: (id) down 
{ 


NSLog (@"You've pressed home button."); 
sorig; // call the original _menuButtonDown: 


de 


如 果 去 掉 ”%orig， 那 么 原始 函数 不 会 得 到 执行 ， 例 如 : 


hook SpringBoard 
(void) menuButtonDown: (id) down 


NSLog(@"You've pressed home button but it's not functioning."); 


还 可 以 利用 %orig 更 改 原始 函数 的 参数 ， 例 如 : 


hook SBLockScreenDateViewController 
(void) setCustomSubtitleText: (id)argl withColor: (id)arg2 


%огід (@"105 8 App Reverse Engineering", arg2); 


这 样 一 来 ， 锁 屏 界 面 原本 显示 日 期 的 地 方 就 变 成 了 如 


Ий] 


3-4 所 示 的 样子 。 


| VUE E 


iOS 8 App А! а. 
4 
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图 3-4 更 改 锁 屏 界面 


除了 %hook、%log、%orig 以 外 ，Logos 常 用 的 预 处 理 指 令 还 有 %group、%init、%ctor、%new、%c， 下 面 继续 逐一 介绍 。 


* %group 


该 指令 用 于 将 %hook 分 组 ， 便 于 代码 管理 及 按 条 件 初 始 化 分 组 (含义 稍 后 有 详细 解释 ) ， 必 须 以 %end 结 尾 ; 一 个 %group 可 以 包含 多 个 %hook， 所 有 不 属于 某 个 自 定 义 group 的 %hook 会 被 隐 式 归 类 
到 %group_ungrouped 中 。%group 的 用 法 如 下 : 


%group iOS7Hook 

shook iOS7Class 

- (id)iOS7Method 

{ 
id result = %orig; 
NSLog(@"This class & method only exist in iOS 7."); 
return result; 


send // iOS7Hook 

%group iOS8Hook 

shook iOS8Class 

- (id) i0S8Method 

{ 

id result = $orig; 

NSLog(@"This class & method only exist in iOS 8."); 
return result; 


dom 


end 

send // iOS8Hook 

shook SpringBoard 
- (void)powerDown 


sorig; 


这 段 代码 的 意思 是 在 %group iOS7Hook 中 钩 住 \OS7Class 的 iOS7Method， 在 %group iOS8Hook 中 钩 住 ;OS8Class 的 iOS8Method 函 数 ， 然 后 在 %group_ungrouped 中 钩 住 SpringBoard 类 的 
powerDown 函 数 。 


需要 注意 的 是 ，%group 必 须 配合 下 面 的 %init 使 用 才能 生效 。 


- Yinit 


该 指令 用 于 初始 化 某 个 %group， 必 须 在 %hook 或 %ctor 内 调用 ; 如 果 带 参数 ， 则 初始 化 指定 的 group， 如 果 不 带 参数 ， 则 初始 化 _ ungrouped， 如 下 : 


#ifndef kCFCoreFoundationVersionNumber iOS 8 0 
#define kCFCoreFoundationVersionNumber iOS 8 0 1140.10 
#endif 

shook SpringBoard 

- (void)applicationDidFinishLaunching: (id) application 


%огід; 

%init; // Equals to %init (_ungrouped) 

if (kCFCoreFoundationVersionNumber >= kCFCoreFoundationVersionNumber iOS 7 0 && kCFCoreFoundationVersionNumber < kCFCoreFoundationVersionNumber iOS 8 0) %init (10S7Hook) 
if (kCFCoreFoundationVersionNumber >= kCFCoreFoundationVersionNumber iOS 8 0) init (10S8Hook); 


de 


只 有 调用 了 %init， 对 应 的 %group 才 能 起 作用 ， 切 记 切 记 ! 


* %сїог 


tweak 的 constructor， 完 成 初始 化 工作 ; 如 果 不 显 式 定义 ，Theos 会 自动 生成 一 个 %ctor， 并 在 其 中 调用 %init(_ иподгоиреа), Е, 


%һооК SpringBoard 

= (void) reboot 

{ 
NSLog(8"If rebooting doesn't work then I'm screwed."); 
sorig; 


可 以 成 功 生效 ， 因 为 Theos 隐 式 定义 了 如 下 内 容 : 


%ctor 


$init( ungrouped); 


shook SpringBoard 
- (void) reboot 


{ 
NSLog(@"I£ rebooting doesn't work then I'm screwed."); 


sorig; 


// Need to call %init explicitly! 


里 的 %hook 无 法 生效 ， 因 为 这 里 显 式 定义 了 %ctor， 却 没有 显 式 调用 %init，%group(_ungrouped) 不 起 作用 。%ctor 一 般 可 以 用 来 初始 化 %group， 以 及 进行 MSHookFunction 等 操作 ， 如 下 : 


#ifndef kCFCoreFoundationVersionNumber iOS 8 0 
#define kCFCoreFoundationVersionNumber iOS 8 0 1140.10 
#endif 

%ctor 


%init; 
if (kCFCoreFoundationVersionNumber >= kCFCoreFoundationVersionNumber iOS 7 0 && kCFCoreFoundationVersionNumber < kCFCoreFoundationVersionNumber iOS 8 0) %init(iOS7Hook) 
if (kCFCoreFoundationVersionNumber >= kCFCoreFoundationVersionNumber ` 105 | 8 | | 0) Sinit (iOS8Hook); 
MSHookFunction((void *)&AudioServicesPlaySystemSound, 
(void *)&replaced AudioServicesPlaySystemSound, 
(void **) &original AudioServicesPlaySystemSound) > 


注意 ，%ctor 不 需要 以 %end 结 尾 。 
+ Yonew 


在 %hook 内 部 使 用 ， 给 一 个 现 有 class 添 加 新 函数 ， 功 能 与 class_ addMethod 相 同 。 它 的 用 法 如 下 : 


shook SpringBoard 
znew 
- (void) namespaceNewMethod 


NSLog (@"We've added a new method to SpringBoard."); 


有 的 朋友 可 能 会 问 ，Objective-C 的 category 语 法 也 可 以 给 现 有 class 添 加 新 函数 ， 为 什么 还 需要 %new 呢 ? 其 实 原因 就 在 于 category 与 class addMethod 的 区 别 ， 前 者 是 静态 的 ， 而 后 者 是 动态 的 。 那 
CARRERE, PREM, ВАЖКЕ? 当然 有 关系 ， 尤 其 是 当 class 来 自 某 个 可 执行 文件 的 时 候 。 举 个 例子 ， 上 面 的 代码 给 SpringBoard 类 添加 了 一 个 新 方法 ， 如 果 使 用 category， 代 码 应 该 是 下 
这 样 : 


El 


@interface SpringBoard (iOSRE) 

- (void) namespaceNewMethod; 

@end 

Gimplementation SpringBoard (iOSRE) 
- (void)namespaceNewMethod 


NSLog(8"We've added a new method to SpringBoard."); 
} 
@епа 


如 果 尝 试 编译 上 面 的 代码 ， 会 得 到 “error: cannot find interface declaration for 'SpringBoard' ”的 报错 信息 ， 即 编译 器 找 不 到 SpringBoard 类 的 定义 。 可 以 构造 一 个 SpringBoard 的 定义 ， 骗 过 
编译 器 ， 如 下 : 


@interface SpringBoard : NSObject 
@епа 

@interface SpringBoard (iOSRE) 

- (void) namespaceNewMethod; 

@end 

@implementation SpringBoard (iOSRE) 
- (void)namespaceNewMethod 


NSLog (@"We've added a new method to SpringBoard."); 


l 
Gend 


新 编译 ， 仍 然 会 报错 ， 如 下 : 


中 | 


Undefined symbols for architecture armv7: 
" OBJC CLASS $ SpringBoard", referenced from: 
1 Е ' $ CATEGORY SpringBoard $ iOSRE in Tweak.xm.b1748661.0 
symbol(s) not found for architecture armv7 
con error: linker command failed with exit code 1 (use -v to see invocation) 


1d 找 不 到 “SpringBoard” 的 定义 。 一 般 来 说，iOs 程 序 员 在 碰 到 这 个 错误 时 的 第 一 反应 是 : “是 不 是 忘 了 导入 哪个 ramework? ”， 但 是 转念 一 想 ，SpringBoard 类 是 SpringBoard 这 个 App 里 的 一 个 
类 ,而 不 是 一 个 framework， 要 怎么 导入 ? 现在 你 是 不 是 觉得 %new 非 常 可 爱 了 呢 ? 


* Yo 


该 指令 的 作用 等 同 于 objc_getClass 或 NSClassFromstring， 即 动态 获取 一 个 类 的 定义 ， 在 %hook 或 %ctor 内 使 用 。 


Logos 的 预 处 理 指令 还 有 9%subclass 和 %config， 但 笔者 到 现在 也 没有 用 过 ， 感 兴趣 的 读者 可 以 移 步 http:Wiphonedevwiki.netVindex.php/Logos 一 探究 竟 ， 也 可 以 来 http://bbs.iosre.com 跟 大 家 一 起 
讨论 。 


(3) control 


control 文 件 记录 了 deb 包 管理 系统 所 需 的 基本 信息 ， 会 被 打包 进 deb 包 里 。iOSREProject 里 control 文 件 的 内 容 如 下 : 


Package: com.iosre.iosreproject 

Name: iOSREProject 

Depends: mobilesubstrate 

Version: 0.0.1 

Architecture: iphoneos-arm 

Description: An awesome MobileSubstrate tweak! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 


其 中 : 
< Package 字 段 用 于 描述 这 个 deb 包 的 名 字 ， 采 用 的 命名 方式 同 bundle identifier 类 似 ， 均 为 反 向 DNS 格式 ， 可 以 按 需 更 改 ; 
` Name 字 段 用 于 描述 这 个 工程 的 名 字 ， 可 以 按 需 更 改 ; 


+ Depends 字 段 用 于 描述 这 个 deb 包 的 “依赖 ”。“ 依 赖 ” 指 的 是 这 个 程序 运行 的 基本 条 件 ， 可 以 填写 固件 版 本 或 其 他 程序 ， 如 果 当 前 iOS 不 满足 “依赖 ”中 定义 的 条 件 ， 则 此 tweak 无 法 正常 运行 。 如 


Depends: mobilesubstrate, firmware (>= 8.0) 


表示 当前 iOSs 版 本 必须 在 8.0 以 上 ， 且 必须 安装 CydiaSubstrate， 才 能 正常 运行 这 个 tweak， 可 以 按 需 更 改 。 


"Version 字段 用 于 描述 这 个 deb 包 的 版 本 号 ， 可 以 按 需 更 改 ; 


“ Architecture 字 段 用 于 描述 deb 包 安装 的 目标 设备 架构 ， 不 要 更 改 ; 

+ Description 字 段 是 deb 包 的 简单 介绍 ， 可 以 按 需 更 改 ; 

+ Maintainter 字 段 用 于 描述 deb 包 的 维护 人 ， 例 如 BigBoss 源 中 所 有 deb 包 的 维护 人 均 为 BigBoss， 而 非 软件 作者 ， 可 以 按 需 更 改 ; 
:Author 字段 用 于 描述 tweak 的 作者 〈 注 意 与 Maintainet 的 区 别 ) ， 可 以 按 需 更 改 ; 


` Section 字 段 用 于 描述 deb 包 所 属 的 程序 类 别 ， 不 要 更 改 。 


control 文 件 中 可 以 自 定义 的 字段 还 有 很 多 ， 但 上 面 这 些 信息 就 已 经 足够 了 。 更 全 面 的 说 明 可 以 参阅 debian 的 官方 网 站 (http://www.debian.org/doc/debian-policy/ch-controlfields.html) 或 留意 
其 他 deb 包 里 的 control 文 件 。 值 得 注意 的 是 ，Theos 在 打包 deb 时 会 对 control 文 件 作 进一步 处 理 ， 上 面 的 control 文 件 在 得 到 处 理 后 内 容 变 为 : 


Package: com.iosre.iosreproject 

Name: iOSREProject 

Depends: mobilesubstrate 

Architecture: iphoneos-arm 

Description: An awesome MobileSubstrate tweak! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Version: 0.0.1-1 

Installed-Size: 104 


这 里 Theos 更 改 了 Version 字 段 ， 用 以 表示 Theos 的 打包 次 数 ， 方 便 管 理 ; 增加 了 一 个 Installed-Size 字 段 ， 用 以 描述 deb 包 安装 后 的 估算 大 小 ， 可 能 会 与 实际 大 小 有 偏差 ， 但 不 要 更 改 。 


control 文 件 中 的 很 多 信息 直接 体现 在 Cydia 中 ， 如 图 3-5 所 示 ， 大 家 可 以 对 比 看 看 。 


eesco 中 国联 通 * 2. 09:21 о 30% ШШ 


< Installed Details Remove 


| jOSREProject 
| 
0.0.1-2 e 


^^“ 
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mw 


. Change Package Settings » 


ча" 


» Author snakeninny > 


: An awesome MobileSubstrate tweak! 


Installed Package 


Version 0.0.1-2 


= Filesystem Content > 


com.iosre.iosreproject 


- Tweaks 
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Ta E Sources Change Installed Searcl 


3-5 ”control 信息 在 Cydia 中 的 体现 


(4) iOSREProject.plist 


这 个 plist 文 件 的 作用 和 App 中 的 Info.plist 类 似 ， 它 记录 了 一 些 配 置信 息 ， 描 述 了 tweak 的 作用 范围 。 我 们 可 以 用 plutil， 也 可 以 用 Xcode 来 编辑 它 。 


iOSREProject.plist 的 最 外 层 是 一 个 dictionary， 只 有 一 个 名 为 “Filter” 的 键 ， 如 图 3-6 所 示 。 


ЕШ? iOSREProject.plist › No Selection 


Кеу Туре 
т Root Dictionary 
> Filter Dictionary 


图 3-6 iOSREProject.plist 
Filter 下 是 一 系列 array， 可 以 分 为 三 类 。 


- Bundles， 指 定 若干 bundle 为 tweak 的 作用 对 象 ， 如 图 3-7 所 示 。 


Б iOSREProject.plist › No Selection 


Key Type Value 
w Root Dictionary (1 item) 
v Filter Dictionary (1 item) 
w Bundles Array (3 items) 
Item 0 String com.naken.smsninja 
Item 1 String com.apple.AddressBook 


Item 2 String com.apple.springboard 


3-7 Bundles 


按照 图 3-7 中 的 配置 ，tweak 的 作用 对 象 是 三 个 bundle， 即 SMSNinja、AddressBook.framework 和 SpringBoard。 


< Classes， 指 定 若干 class 为 twe 引 的 作用 对 象 ， 如 图 3-8 所 示 。 


ШЫ | < › iOSREProject.plist › No Selection 


Key Type Value 
т Root Dictionary (1 item) 
v Filter Dictionary (1 item) 
v Classes Array (3 items) 
Item 0 String NSString 
Item 1 String SBAwayController 
Item 2 String SBiconModel 


图 3-8 Classes 


按照 图 3-8 的 配置 ，tweak 的 作用 对 象 是 三 个 class， 即 NSstring、SBAwayController 和 SBlconModel。 


- Executables， 指 定 若干 可 执行 文件 为 tweak 的 作用 对 象 ， 如 图 3-9 所 示 。 


x 
28 
[a 


3-9 中 的 配置 ，tweak 的 作用 对 象 是 三 个 可 执行 文件 ， 即 callservicesd、imagent 和 mediaserverd。 


iOSREProject.plist › No Selection 


Key Type Value 
v Root Dictionary (1 item) 
v Filter Dictionary (1 item) 
Y Executables Array (3 items) 
Item 0 String callservicesd 
Item 1 String imagent 
Item 2 String mediaserverd 


图 3-9 Executables 


这 三 类 array 可 以 混合 使 用 ， 如 图 3-10 所 示 。 


iOSREProject.plist › No Selection 


Type 
т Root Dictionary (1 item) 


v Filter Dictionary (4 items) 
Mode String Any 


w Bundles Array (1 item) 

Item 0 String com.apple.springboard 
v Classes Array (1 item) 

Item 0 String TUCallServicesCallController 
Y Executables Array (1 item) 

Item 0 String callservicesd 


图 3-10 ”混合 三 类 array 


注意 ， 当 Filter 下 有 不 同类 的 array 时 ， 需 要 添加 一 个 “Mode: Any” 键 值 对 。 当 Filter 下 的 array 只 有 一 类 时 ， 不 需要 添加 “Mode: Any” 键 值 对 。 


3. 编 译 + 打包 + 安装 


前 面 在 完成 了 Theos 的 安装 后 ， 使 用 NIC 创 建 了 第 一 个 tweak 工 程 ， 还 逐一 解读 了 工程 的 组 成 文件 ， 那 么 现在 就 剩 下 最 后 一 步 一 一 编译 了 。 完 成 这 一 步 ， 一 个 tweak 就 算 正 式 完成 一 一 我 们 可 以 把 tweak 
安装 到 设备 上 ， 开 始 周而复始 的 “safe mode" 之 旅 了 ， 是 不 是 很 期 待 呢 ? 


(1) 编译 


Theos 采 用 “make” 命 令 来 编译 Theos 工 程 。 在 Theos 工 程 目录 下 运行 make 命 令 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make 

Making all for tweak iOSREProjecthttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 
Preprocessing Tweak.xmhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Compiling Tweak.xmhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Linking tweak iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Stripping iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Signing iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/0EBPS/Text/... 


从 输出 的 信息 看 ，Theos 完 成 了 预 处 理 、 编 译 、 签 名 等 一 系列 动作 ， 此 时 会 发 现 当前 目录 下 多 了 一 个 新 的 “obj” 文 件 夹 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1 

total 32 

09:20 Makefile 

11:28 Tweak.xm 

:05 control 

09:48 iOSREProject.plist 
11:28 obj 

09:05 theos -> /opt/theos 


1 snakeninny staff 262 Dec 
1 snakeninny staff 0 Dec 
1 snakeninny staff 223 Dec 
1 snakeninny staff 175 Dec 
5 
1 


drwxr-xr-x 
lrwxr-xr-x 


snakeninny staff 170 Dec 
snakeninny staff 11 Dec 


WWW WWW 
o 
o 


里 面 有 一 个 .dylib 文 件 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1 ./obj 

total 272 

—IW- - 1 snakeninny staff 33192 Dec 3 11:28 Tweak.xm.b1748661.0 
-rwxr-xr-x 1 snakeninny staff 98784 Dec 3 11:28 iOSREProject.dylib 


它 就 是 tweak 的 核心 。 


(2) 打包 


打包 使 用 的 “make package” 命 令 来 自 于 Theos 本 身 ， 其 实 就 是 先 执行 “make” 命令， 然后 再 执行 “dpkg-deb” 命 令 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make package 
Making all for tweak iOSREProjecthttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 
Preprocessing Tweak.xmhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Compiling Tweak.xmhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Linking tweak iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Stripping iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Signing iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Making stage for tweak iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
dm.pl: building package 'com.iosre.iosreproject' in './com.iosre.iosreproject 0.0.1-7 iphoneos-arm.deb'. 


上 面 生成 了 一 个 名 为 “com.iosre.iosreproject_0.0.1-7_ iphoneos-arm.deb” 的 文件 ， 这 就 是 可 以 最 终 发 布 的 安装 包 。 


“make package” 命 令 还 有 一 个 很 重要 的 功能 。 在 执行 完 “make package” 之 后 ， 除 了 “obj” 文 件 夹 外 ， 你 会 发 现 tweak 工 程 目录 下 还 生成 了 一 个 “ ”文件 夹 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1 
total 40 


09:20 Makefile 

11:28 Tweak.xm 

11:35 _ 

:35 com.iosre.iosreproject_0.0.1-7 _iphoneos-arm.deb 
09:05 control T Е 

09:48 iOSREProject.plist 

11:35 obj 

09:05 theos -> /opt/theos 


1 snakeninny staff 262 Dec 
1 snakeninny staff 0 Dec 
4 snakeninny staff 136 Dec 
1 snakeninny staff 2396 Dec 
1 
1 
5 
1 


drwxr-xr-x 
ewe 
EW 
-rw-r 
drwxr-xr-x 
lrwxr-xr-x 


snakeninny staff 223 Dec 
snakeninny staff 175 Dec 
snakeninny staff 170 Dec 
snakeninny staff 11 Dec 


d 


WW (Q WW о Q) C 
e 
n 


这 个 文件 夹 是 干什么 的 ?打开 它 ， 可 以 看 到 2 个 文件 夹 ， 分 别 是 “DEBIAN” 和 “Library” 


snakeninnysiMac:iosreproject snakeninny$ ls -1 

total 0 z 
drwxr-xr-x 3 snakeninny staff 102 Dec 3 11:35 DEBIAN 
drwxr-xr-x 3 snakeninny staff 102 Dec 3 11:35 Library 


其 中 “DEBIAN” 里 只 有 tweak 工 程 里 的 control 文 件 ，Theos 在 编译 过 程 中 向 control| 文 件 里 稍稍 增加 了 几 个 字段 而 已 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ 15 -1 _/DEBIAN 
total 8 
-rw-r--r-- 1 snakeninny staff 245 Dec 3 11:35 control 


“Library” 的 目录 结构 如 图 3-11 所 示 。 


对 比 生成 deb 的 包 内 容 : 


Library 
т |) MobileSubstrate 
Y 


"W DynamicLibraries 
iOSREProject.dylib 
iOSREProject.plist 


图 3-11 Library HB RH 


snakeninnysiMac:iosreproject snakeninny$ dpkg -c com.iosre.iosreproject 0.0.1-7 iphoneos-arm.deb 
0 2014-12-03 11:35 ./ 


drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
—rwxr-xr-x 
-rw-r--r-- 


snakeninny/staff 
snakeninny/staff 
snakeninny/staff 
snakeninny/staff 
snakeninny/staff 
snakeninny/staff 


以 及 在 Cydia 中 iOSREProject 的 文件 系统 ， 如 


0 2014-12-03 11:35 
0 2014-12-03 11:35 
0 2014-12-03 11:35 
98784 2014-12-03 11 

175 2014-12-03 11 


./Library/ 
./Library/MobileSubstrate/ 
./Library/MobileSubstrate/DynamicLibraries/ 
:35 ./Library/MobileSubstrate/DynamicLibraries/iOSREProject.dylib 
:35 ./Library/MobileSubstrate/DynamicLibraries/iOSREProject.plist 


[D 


3-12 所 示 。 


+eco HERE € . 11:48 о 56% M 


< Details Installed Files 


Library 
MobileSubstrate 
DynamicLibraries 
iOSREProject.dylib 
iOSREProject.plist 


图 3-12 iOSREProject X fF £ Ж 


可 以 看 到 ， 三 者 是 完全 相同 的 。 到 这 里 ， 你 可 能 也 猜 到 了 ， 这 个 deb 包 其 实 就 是 由 “DEBIAN” 提 供 debian 信 息 ，“Library” 提 供 实 际 文件 的 简单 组 合 。 事 实 上 ， 还 可 以 在 工程 目录 下 创建 一 个 名 
为 “layout” 的 文件 夹 ， 然 后 把 工程 打包 成 deb 并 安装 到 iOS 中 ， 此 时 “layout” 中 的 所 有 文件 会 被 解 包 到 iOS 文 件 系 统 的 相同 位 置 (这 里 的 “layout” 相 当 于 iOS 中 的 根 目 录 “/”) ， 这 极 大 扩充 了 deb 包 
的 作用 范围 。 下 面 用 一 个 小 示例 佐 以 说 明 。 


n 


回 到 刚才 的 iOSREProject 中 ， 在 Terminal 中 输入 “make clean” 及 “rmx*.deb”， 将 工程 恢复 到 最 初 的 状态 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make clean 
rm -rf ./obj 

rm -rf "/Users/snakeninny/Code/iosreproject/_" 
snakeninnysiMac:iosreproject snakeninny$ rm *.deb 
snakeninnysiMac:iosreproject snakeninny$ ls -1 
total 32 

-rw-r--r-- snakeninny staff 262 Dec 
-rw-r--r-- snakeninny staff 0 Dec 


1 09:20 Makefile 
1 
-rw-r--r-- 1 snakeninny staff 223 Dec 
1. 
1 


11:28 Tweak.xm 
control 
09:48 iOSREProject.plist 
09:05 theos -> /opt/theos 


-rw-r--r--8 snakeninny staff 175 Dec 
lrwxr-xr-x snakeninny staff 11 Dec 


WWW WW 
° 
© 
o 
a 


然后 生成 一 个 空 的 “layout” 目 录 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ mkdir layout 


并 在 “layout” 下 随便 放 一 些 空 文件 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ touch ./layout/l.test 

snakeninnysiMac:iosreproject snakeninny$ mkdir ./layout/Developer 
snakeninnysiMac:iosreproject snakeninny$ touch ./layout/Developer/2.test 
snakeninnysiMac:iosreproject snakeninny$ mkdir -p ./layout/var/mobile/Library/Preferences 
snakeninnysiMac:iosreproject snakeninny$ touch ./layout/var/mobile/Library/Preferences/3.test 


最 后 用 “make package" 打包 ， 并 将 生成 的 deb 文 件 拷贝 到 iOs 中 ， 用 iFile 安 装 。 然 后 在 Cydia 中 查看 iOSREProject 的 文件 系统 ， 如 图 3-13 所 示 。 


serco 中国 联通 F 并 12:08 @ 55% NN | 


€ Details Installed Files 


я k= = 


|, Le SL 
Developer 
e. lest 
Library 
MobileSubstrate 
DynamicLibraries 
iOSREProject.dylib 
IOSREProject.plist 
Var 
mobile 
Library 
Preferences 
3.test 


图 3-13 iOSREProject X # £ 2& 


20618. debOMANAARE, њат), REMAINS 


BR “DEBIAN” 以 外 的 所 有 文件 都 被 解 包 到 了 iOS 文 件 系 统 的 相同 位 置 ， 本 来 不 存在 的 中 间 文 件 夹 也 被 
步 http://www.debian.org/doc/debian-policy， 官 方 文档 总 是 最 好 的 学 习 资 料 。 


(3) 安装 


安装 法 和 命令 行 安装 法 。 大 多 数 人 的 第 一 直觉 是 图 形 界面 一 定 比 命令 行 简单 ， 那 好 ， 咱 们 先 介绍 


最 后 ， 要 把 这 个 deb 文 件 安 装 到 iOS 中 去 。 安 装 的 方法 多 种 多 样 ， 这 里 介绍 两 种 最 具 代 表 性 的 : 图 形 界面 


SABRE. 


形 界 面 安装 法 


形 界面 操作 ， 但 人 机 交互 太 多 ， 又 要 动 电脑 又 要 滑 手 机 ， 一 来 二 去 非常 繁琐 ， 并 不 


这 个 方法 确实 简单 : 通过 iFunBox 等 软件 把 deb 拖 到 iOs 里 去 ， 然 后 用 iFile 安 装 它 ， 最 后 重启 iOS。 虽 然 全 过 程 都 由 
于 tweak 开 发 。 


[D 


Bí 


这 个 方法 要 用 到 简单 的 sh 命令 ， 故 而 要 求 越狱 的 iOS 安 装 了 OpenSSH， 如 果 对 这 部 分 知识 不 了 解 ， 请 先 快速 浏览 一 遍 第 4 章 的 “OpenSSH” 部 分 。 下 面具 体 介绍 安装 法 。 


首先 ， 需 要 在 Makefile 的 最 上 一 行 加 上 本 机 IP 地 址 ， 如 下 : 


THEOS DEVICE ТР = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 


然后 调用 “make package install” 命 令 完 成 编译 打包 安装 一 条 龙 服务 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make package install 
Making all for tweak iOSREProjecthttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 
Preprocessing Tweak.xmhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Compiling Tweak.xmhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Linking tweak iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Stripping iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Signing iOSREProjecthttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Making stage for tweak iOSREProjecthttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 
dm.pl: building package 'com.iosre.iosreproject:iphoneos-arm' in ^./com.iosre.iosreproject 0.0.1-15 iphoneos-arm.deb' 
install.exec "cat » /tmp/ theos install.deb; dpkg -i /tmp/ theos install.deb && rm /tmp/ theos install.deb" « "./com.iosre.iosreproject 0.0.1-15 iphoneos-arm.deb" 
root@iOSIP's password: ~ > Е Е Е Е E > 
Selecting previously deselected package com.iosre.iosreproject. 
(Reading database http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 2864 files and directories currently installed.) 
Unpacking com.iosre.iosreproject (from /tmp/ theos install.deb) http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Setting up com.iosre.iosreproject (0.0.1-15) http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
install.exec "killall -9 SpringBoard" = 
root@iOSIP's password: 


从 以 上 信息 可 以 看 到 ，Theos 在 整个 安装 过 程 中 要 求 我 们 输入 两 次 root 密 码 。 虽 然 多 次 输入 密码 给 人 很 安全 的 感觉 ， 但 实在 是 太 麻烦 了 。 好 在 通过 设置 iOs 的 authorized_keys 可 以 省 略 SSH 输 密码 的 步 
JE, ib "make package install” 真 正 地 从 “一 只 多 脚 虫 ” 变 成 “一 条 飞天 龙 ”， 具 体 步骤 如 下 : 


1) 删除 “/Users/snakeninny/.ssh/known_hosts” 中 iOSIP 对 应 的 条 目 。 


假设 iOS 的 IP 地 址 是 iOSIP。 编 辑 “/Users/snakeninny/.ssh/known_hosts”， 找 到 iOSIP 所 在 的 那 一 行 ， 如 下 : 


iOSIP ssh-rsa hXFscxBCVXgqXhwm4PUoUVBEWRrNeG6gVI3Ewm4dqwusoRcyCxZtm5bRiv4bXfkPjsRkWVVfrW3uT52Hhx4RqIuCOxtWE7tZqclvVap4HIzUu3mwBuxog7WiFbsbbaJY4AagNZmX83Wmvf81li5aYMsuKeNagdJHzJN 


完整 删 掉 这 一 行 。 
2) 生成 authorized_keys。 


在 Terminal 中 执行 如 下 命令 : 


snakeninnysiMac:~ snakeninny$ ssh-keygen -t rsa 

Generating public/private rsa key pair. 

Enter file in which to save the key (/Users/snakeninny/.ssh/id rsa): 
Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /Users/snakeninny/.ssh/id rsa. 
Your public key has been saved in /Users/snakeninny/.ssh/id rsa.pub. 


SnakeninnysiMac :~ snakeninny$ cp /Users/snakeninny/.ssh/id rsa.pub -/authorized keys 


就 会 在 用 户 目录 下 生成 authorized_keys。 


3) 配置 iOS。 


在 Terminal 中 执行 如 下 命令 : 


FunMaker-5:~ root# ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/var/root/.ssh/id rsa): 
Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /var/root/.ssh/id rsa. 
Your public key has been saved in /var/root/.ssh/id rsa.pub. 


FunMaker-5:~ root# logout 

Connection to iOSIP closed. 

snakeninnysiMac:iosreproject snakeninny$ scp ~/authorized_keys root@iOSIP:/var/root/.ssh 
The authenticity of host 'iOSIP (iOSIP)' can't be established. 

RSA key fingerprint is 75:98:9а:05:а3:27:24:23:08:03:ее:Ғ4:01:28:ра:1а. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added 'iOSIP' (RSA) to the list of known hosts. 

root8iOSIP's password: 

authorized keys 100% 408 0.4KB/s 00:00 


重新 使 用 ssh 命 令 进 入 iOS 试 试看 ， 还 需要 输 密 码 吗 ? 此 时 ，“make package install” 真 正 变 成 了 一 次 配置 ， 一 键 安装 ， 一 劳 永 逸 ! 


(4) 清 


Theos 提 供 了 方便 的 工程 清理 命令 “make clean”， 其 实际 作用 就 是 依次 执行 “rm-rf./obj” 和 “rm-rf"/Users/snakeninny/Code/iosre/“"” 两 个 命令 ， 从 而 删除 “make” 和 “make package" í 
令 生 成 的 文件 夹 。 也 可 以 用 “rm*.deb”， 删除“make package” 命 令 生成 的 所 有 deb 文 件 。 


3.2.4 Theos 开 发 tweak 示 例 


前 几 节 完整 地 介绍 了 Theos 的 安装 和 使 用 方法 ， 虽 然 还 没有 涵盖 Theos 的 所 有 功能 ， 但 对 于 逆向 工程 初学 者 来 说 已 经 完全 够 用 了 。 讲 了 这 么 多 内 容 却 还 没有 涉及 一 行 真实 的 代码 ， 是 不 是 有 些 意犹未尽 


啊 ? 


接 下 来 将 以 一 个 最 简单 的 tweak 为 例 来 进行 讲解 。 安 装 了 该 程序 之 后 ， 每 次 重启 SpringBoard 都 将 会 弹出 一 个 UIAlertView。 


1. 用 Theos 新 建 tweak 工 程 “iOSREGreetingSs” 


新 建 iOSREGreetings 工 程 的 命令 如 下 : 


snakeninnysiMac:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
.] iphone/notification center widget 
] iphone/preference bundle 
] iphone/sbsettingstoggle 
] iphone/tool 
.] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREGreetings 
Package Name [com.yourcompany.iosregreetings]: com.iosre.iosregreetings 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.springboard 


[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]: 
Instantiating iphone/tweak in iosregreetings/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/0EBPS/Text/... 
Done. 

2. 编 辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


shook SpringBoard 
- (void)applicationDidFinishLaunching: (id) application 


Sorig; 

UlAlertView *alert = [[UIAlertView alloc] initWithTitle:@"Come to http://bbs.iosre.com for more fun!" message:nil delegate:self cancelButtonTitle:@"OK" otherButtonTitles:ni 
[alert show]; 

[alert release]; 


de 


end 


3. 编 辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS_DEVICE_IP = iOSIP 

ARCHS = armv7 arm64 

TARGET = iphone:latest:8.0 

include theos/makefiles/common.mk 

ТИЕАК МАМЕ = iOSREGreetings 

iOSREGreetings FILES = Tweak.xm 

iOSREGreetings FRAMEWORKS = UIKit 

include $ (THEOS MAKE PATH) /tweak.mk 

after-install:: 
install.exec 


killall -9 SpringBoard" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosregreetings 

Name: iOSREGreetings 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Greetings from iOSRE! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


ЕЕ 


以 上 代码 非常 简单 ， 当 SpringBoard 的 applicationDidFinishLaunching: 函 数 得 到 调用 时 ， 代 表 SpringBoard 的 启动 过 程 已 经 结束 。 钩 住 (hook) 这 个 函数 ， 调 用 %orig 完 成 它 的 原始 操作 ， 然 后 弹出 


一 个 自 定义 的 UIAlertView; 这 样 一 来 ， 每 次 重启 SpringBoard 都 会 弹出 一 个 对 话 框 。 你 看 懂 了 吗 ? 
ESRB, TETerminalrRBEA "make package install”， 待 SpringBoard 后 会 看 到 如 图 3-14 所 示 的 结果 ， 简 单 粗 暴 。 


Come to http://bbs.iosre.com 
for more fun! 


OK 


图 3-14 ”第 一 个 tweak 
是 的 ， 仅 仅 是 这 样 一 些小 小 的 改动 ， 就 已 经 可 以 改变 App 的 行为 了 。 此 时 ， 封 闭 的 iOS 已 经 向 我 们 打开 了 大 门 


因为 有 Theos 这 样 的 开发 工具 存在 ， 修 改 闭 源 的 iOS 程 序 变 得 前 所 未 有 的 方便 。 不 过 在 前 面 也 提 到 了 ， 现 在 的 App 工 程 量 越 来 越 大 ，class-dump 头 文件 也 越 来 越 多 ， 要 从 浩如烟海 的 函数 名 中 筛选 出 我 
们 感 兴趣 的 目标 ， 比 确定 目标 后 编写 代码 还 要 难得 多 。 面 对 成 王 上 万 行 代码 ， 如 果 没 有 其 他 工具 辅助 分 析 ， 逆 向 工程 简直 是 一 场 亚 梦 ， 让 人 一 筹 莫 展 。 那 么 接 下 来 ， 就 轮 到 这 些 辅 助 分 析 工具 隆重 登场 了 。 


3.3 Reveal 


图 3-15 所 示 。 


Reveal 是 由 ITTY BITTY 出 品 的 UI 分 析 工具 ， 可 以 直观 地 查看 App 的 UI 布 局 ， 如 


官方 给 Reveal 的 定位 是 “See your application’ s view hierarchy at runtime with advanced 2D and 3D visualisations" ， 但 作为 逆向 工程 师 ， 查 看 自己 App 的 UlI 布 局 显然 不 能 满足 我 们 的 需求 ， 


3-16 就 是 用 Reveal 查 看 AppStore 的 效果 。 


局 才 是 正经 事 儿 一 一 图 


能 够 查看 别人 App 的 UI 布 


REVEAL 


w ТҮ BITTY RAPS 


DCRWNICHAD Ж BUY Nú JW 


图 3-15 Reveal 


4 > 


App Store (FunMaker 5) 


App Store 2.0 
FunMaker 5 (iOS 8.1) 


wv ‘SKUlSectionHeaderCollectionViewCell 
r 1UlView 
Үү: 'SKUlSectionHeaderView 
v! 'SKUIStyledButton: See All 
E) UlimageView 
г 1SKUIAttributedStringView: See All 
' :SKUlAttributedStringView: Apps for (RED) 
v: ‘SKulShelfCollectionViewCell 
YL ` UlView 
v E3) UICollectionView 
v! 1 SKUIVerticalLockupCollectionViewCell: Clear - 
vi UlView 
v: ‘SKU!VerticalLockupView 
SKUllmageView: Clear — Tasks, Remin 
_ ! SKUIAttributedStringView: Clear - Tas 
г 1SKUIAttributedStringView: Productivit' 
г 1SKUlAttributedStringView: $4.99 
vw: :SKUiVerticalLockupCollectionViewCell: Kitchei 


 SKUlVerticalLockupView 
[2] SKUlimageView: Kitchen Stories Recit 


在 Reveal 界 面 的 左 侧 ，AppStore 的 UI 布 , 


3-16 “用 Reveal 查 看 A| 


局 以 树 形 方式 展现 出 来 ， 当 选中 一 个 控件 时 ， 右 侧 的 界面 截图 


C UIScreen 


Categories Featured 


a 
® 
5 


x 


Over 
Photo & Video 


Star Walk™ 2 Kitchen 


Stories Reci... 
Food & Drink 


- Guide to t... 
Education 
$2.99 


ppStore 的 UI 布局 


会 实时 地 标 出 选中 的 位 置 。 同 时 大 家 也 一 定 注意 到 了 ，Reveal 也 解析 出 了 UI 控件 对 应 的 类 和 名， 如 
Раса, 


局 ， 还 需要 对 Reveal 做 简 和 


Ий] 


3-16 中 所 示 的 SKUIAttributedStringView。 要 查看 别人 App 的 UI 布 


1. 安 装 Reveal Loader 


3-17 所 示 。 


在 Cydia 中 搜索 并 安装 Reveal Loader， 如 图 


值得 注意 的 是 ， 在 安装 Reveal Loader 的 时 候 ， 它 会 自动 从 Reveal 的 官网 下 载 一 个 必须 的 文件 libReveal.dylib。 如 果 网 络 状况 不 太 好 ，Reveal Loader 不 一 


对 dylib 下 载 失败 的 情况 做 容错 处 理 ， 可 能 会 在 下 载 界面 卡 顿 很 长 时 间 ， 导 致 Cydia 停 止 响 应 。 因 
有 一 个 名 为 “RHRevealLoader” 的 文件 夹 ， 如 下 : 


=k. 


ХЕВБ 


够 成 功 下 载 这 个 dylib 文 件 ， 而 且 它 没有 针 
此 ， 在 下 载 它 之 前 最 好 连接 美国 VPN ， 且 在 下 载 完 Reveal Loader 后 ,检查 iOS 上 的 “/Library/” 目 录 下 有 没 


FunMaker-5:~ root# ls -1 /Library/ | grep RHRevealLoader 
drwxr-xr-x 2 root admin 102 Dec 6 11:10 RHRevealLoader 


seseo 中 国联 通 3G " 15:20 @ 62% 


< Search Details Modify 


- i». Reveal Loader 
| 1.0.0-1 113 kB 


© Change Package Settings > 


? Author Richard Heard > 


Installed Package 


Version 1.0.0-1 
E Filesystem Content > 


com. rheard.reveal-loader 
BigBoss - Tweaks 


Sources Changes Installed Searcl 


3-17 Reveal Loader 


如 果 没 有 ， 就 手动 创建 一 个 ， 如 下 : 


FunMaker-5:~ root# mkdir /Library/RHRevealLoader 


3-18 所 示 。 


然后 打开 Reveal， 在 它 标题 栏 的 “Help” 选 项 下 ， 选 中 其 中 的 “Show Reveal Library in Finder” 子 选项 ， 如 图 


图 3-18 Show Reveal Library in Finder 


此 时 就 会 出 现 图 3-19 所 示 的 界面 。 
把 这 个 libReveal.dylib 通 过 scp 或 iFunBox 等 方式 拷贝 到 刚才 创建 的 RHRevealLoader 目 录 下 ， 如 下 : 


FunMaker-5:~ root# ls -1 /Library/RHRevealLoader 


total 3836 
—rw-r--r-- 1 root admin 3927408 Dec 6 11:10 libReveal.dylib 


JiOS-Libraries 
H = юш ж. з ~ 


^ Date Modified 


libReveal.dylib Oct 13, 2014, 6:59 AM 
Reveal.framework Oct 13, 2014, 6:59 AM 


图 3-19 libReveal.dylib 


至 此 完成 Reveal Loader 的 安装 。 


2. 配 置 Reveal Loader 


Reveal Loader 的 配置 界面 位 于 Settings 应 用 中 ， 它 的 名 字 叫 “Reveal”， 如 图 3-20 所 示 。 


O Activator 


© Dimncal 


Slide2Kill8 Lite 


Adobe Reader 


3-20 Reveal Loader 


点 击 “Reveal” 进 入 其 界面 ， 呈 现在 我 们 面前 的 主要 是 一 些 使 用 声明 ， 如 图 3-21 所 示 。 


点 击 “Enabled Applications” ， 进 入 配置 界面 。 要 分 析 哪个 App， 就 打开 对 应 的 开关 。 这 里 打开 了 AppStore 和 Calculator 的 开关 ， 如 图 3-22 所 示 。 


eeeoo 中 国联 通 3G 15:43 9 80% SEN) + 


< Settings Reveal 


Enabled Applications 


This tweak is not officially supported. For more 
information about Reveal.app and runtime 
debugging see http://revealapp.com 


HHHevealLoader 


Copyright (c) 2014 Richard Heard. All rights 
reserved. 


Redistribution and use in source and binary 
forms, with or without modification, are 
permitted provided that the following conditions 
are met: 

I. Redistributions of source code must retain 
the above copyright notice, this list of 
conditions and the following disclaimer. 


H Саан Аа аф ú Rima н wai + 


£. PASS EIL PLELEL СЕ EET LEE DAI y PLP ПОЛА XU 
reproduce the above copyright notice, this list 
of conditions and the following disclaimer in the 
documentation and/or other materials provided 
with the distribution. 

3. The name ot the author may not be used to 
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eecoo 中 国联 通 F 18:26 9 Отсос ШШ 


< Reveal Enabled Applications 

SYSTEM APPLICATIONS 

m Activator 

(A) App Store € @ 
— Calculator € 


cars Calendar 


Camera 


a 
Clock 
Б 


x = ae ы аа: 


у] UII Ic 
gj Contacts 


Cydia 


^4 Diagnostics 


3-22 fit Reveal Loader 


Reveal Loader 的 配置 就 是 这 样 了 。 既 直观 又 方便 ， 不 是 吗 ? 


3. 使 用 Reveal 查 看 目标 App 的 UI 布局 


一 切 准 备 就 绪 ， 轮 到 主角 Reveal 出 场 了 。 首 先 确认 OSX 和 iOS 位 于 同一 网 段 内 ， 然 后 启动 Reveal， 并 
App， 稍 等 一 会 儿 ，Reveal 就 会 把 目标 App 的 UI 布局 展现 在 我 们 面前 ， 如 图 3-23 所 示 。 


启 iOS 上 的 


标 App ( 即 如 果 App 开 着 ,需要 先 关 掉 ， 再 打开 ) 。 从 Reveal 界 面 左 上 角 选 择 目标 


4 > Calculator (FunMaker 5) 口 UIScreen 


Calculator 1.0 


FunMaker 5 (iOS 8.1) 

v [ ] UlScreen: Main Screen 
v 站 CalculatorWindow 

YL IUIMView 


yi 


ı CalculatorKeypad View 


FY UlLabel: 
四 UILabel: 
FE UiLabel: 
FJ UiLabel: 
FA UiLabel: 
FÑ UiLabel: 
四 UiLabel: 
FX UiLabel: 
四 UILabel: 
| АЙШЕ 
FJ UILabel: 
FN пабег: 


clear 
plus, minus 
percent 
divide 

7 

8 

9 
multiply 
4 

5 

6 
subtract 


| UiLabel: 
FÑ UiLabel: 
FN UiLabel: 
FN UiLabel: 
| UiLabel: 
| АЙШЕ 


图 3-23 


Calculator 的 UI 布局 


6 
`" 
加 
е Ба 


Reveal 的 使 用 并 不 复杂 ， 它 是 一 款 用 户 体验 不 错 的 工具 。 但 是 在 iOSs 逆 向 工程 中 ， 对 App 的 分 析 人 往往 不 会 只 是 停留 在 UI 层 ， 外 在 表象 下 的 内 在 实现 才 是 最 终 目标 。 在 本 书 的 后 半 部 分 ， 将 采用 Reveal 
的 “文字 版 ”， 即 recursiveDescription 函 数 ， 配 合 Cycript 来 挖掘 隐藏 在 UI 布 局 下 的 代码 ， 届 时 你 就 会 感知 jiOS 逆 向 工程 的 真正 威力 。 


3.4 IDA 


3.4.1 IDAN 


即使 你 以 前 没有 从 事 过 iOSs 逆 向 工程 相关 的 工作 ， 也 一 定 听 说 过 IDA (The Interactive Disassembler) 的 昂 易 大 名 。 而 对 于 绝 大 多 数 接触 过 逆向 工程 的 人 来 说 ，1DA 三 个 字 则 是 如 雷 贯 耳 ， 它 乃 逆向 工 
程 中 最 负 盛 名 的 神器 之 一 (如 图 3-24 所 示 ) 。 如 果 说 class-dump 能 够 帮 有 我 们 罗列 出 要 分 析 的 点 ， 那 IDA 就 能 进一步 帮 有 我们 把 这 些 点 铺 成 面 。 


IDA: About 


IDA Overview News Processors Formats Debuggers Tech `. Support 


IDA: About 


What is IDA all about? 


IDA is a Windows, Linux or Mac OS X hosted multi-processor disassembler and debugger that offers so many features it is 
hard to describe them all. Just grab an evaluation version if you want a test drive. 


An executive summary is provided for the non-technical user. 


3-24 IDA 官 网 


笼统 地 说 ，1DA 是 一 个 支持 Windows、Linux 和 Mac OS X 的 多 平台 反 汇 编 器 /调试 器 ， 它 的 功能 非常 强大 ， 以 至 于 连 官方 都 不 能 给 出 一 个 详尽 的 功能 列表 。 


1DA 的 正式 版 是 收费 的 ， 但 其 作者 也 是 程序 员 出身 ， 深 知 我 们 生活 不 易 ， 所 以 慷慨 地 提供 了 一 个 免费 的 试用 版 ， 对 于 逆向 工程 初学 者 来 说 ， 已 完全 够 用 了 。1DA 的 下 载 和 安装 十 分 方便 ， 具 体 可 参 
3: https://www.hex-rays.com/products/ida/index.shtml, ABABA. 


3.4.2 1DA 使 用 说 明 


1DA 启 动 时 会 短暂 地 显示 如 图 3-25 所 示 的 窗 


H 


IDA - The Interactive Disassembler 
Version 6.6.140625 (32-bil) 


(c) 2014 Hex-Rays SA 


Evaluation version 
with the “wash limitations: 
1. Only PE/ELF/Mach-O files are supported 
2. It is time limited 
3. Save is disabled 


www.hex-rays.com 


图 3-25 IDA 启 动 界面 


这 时 可 以 点 击 “OK”， 或 等 上 几 秒 ， 它 会 自动 关闭 ， 之 后 就 会 看 到 IDA 的 主 界面 ， 如 图 3-26 所 示 。 


在 该 界面 中 ， 不 用 繁琐 地 在 菜单 时 点击“ 打开 文 件 ”， 然 后 一 个 目录 一 个 目录 地 去 翻 找 ， 只 需 把 要 分 析 的 文件 拖 进 IDA 的 灰色 区 域 就 行 了 。 打 开 文 件 后 ， 还 需要 做 一 些 基 本 的 配置 ， 如 图 3-27 所 示 。 


ye IDA v6.6.140625 | 


€v 9» Uh m 808 + з DO dh f tye > p> d 


Drag a tile here to disassemble it 


3-26 IDA 主 界面 


WW Load a new file 
Load file /Users/snakeninny/SMSNinja.app/SMSNinja as 


Fat Mach-O file, 1. ARMv7 [macho.Imc] 
Fat Mach-O file, 2. ARMv7S [macho.Imc] 
Fat Mach-O file, 3. ARM64 [macho.Imc] 


MetaPC (disassemble all opcodes) [metapc] 


Е Е Analysis 
Loading segment 0х00000000 F) Enabled 


Loading offset 0х00000000 indicator enabled 


Options 
Z| Create segments 
_ | Load resources 
Manual load Kernel options 2 
„| Fill segment gaps 
Loading options Processor options 
Create FLAT group 


Kernel options 1 


DLL directory cAwindows 


Help 


图 3-27 IDA 初 始 配置 


有 一 个 地 方 需要 注意 : 对 于 一 些 fat binary ( 指 的 是 为 了 兼容 不 同 架构 的 处 理 器 ， 而 把 多 种 指令 集 熔 合 到 一 个 binary) 来 说 ， 图 3-27 中 最 上 面 的 白 框 内 会 出 现 多 个 Mach-O 文 件 供 我 们 选择 。 建 议 先 迅速 
查阅 第 4 章 “dumpdecrypted” 这 一 节 的 ARM 对 照 表 ， 找 到 设备 对 应 的 ARM 信 息 ， 例 如 笔者 的 iPhone 5 对 应 的 是 ARMVv7s。 如 果 设备 的 ARM 没 有 出 现在 这 些 选项 中 ， 就 选 那个 向 下 兼容 的 选项 ， 即 如 果 选 
项 里 有 ARMV7S， 就 选 它 ;否则 选 ARMV7。 这 种 方法 应 该 可 以 应 对 碰 到 的 99% 的 情况 ， 如 果 你 恰巧 是 那 1%， 请 来 http://bbs.iosre.com 分 享 这 种 百 里 挑 一 的 喜悦 ， 我 们 一 起 解决 问题 。 


这 里 笔者 选择 了 ARMV7S， 然 后 点 击 “OK”， 此 时 ， 会 连续 弹出 好 几 个 窗口 ， 一 路 点 击 “Yes” 和 “OK” 就 可 以 了 ， 如 图 3-28 和 图 3-29 所 示 。 


Objective-C 2.0 structures have been detected. Do you want to parse them and rename methods? 


ts 


е 


Don't display this message again 


3-28 IDA 启 动 选 项 


IDA-View has now а new mode: proximity view. 
This mode allows you to browse the interrelations between functions and data items. 
When inside a function, press "-" to toggle the proximity viewer and "+" to zoom back into a function. 


Do you want to switch to proximity view now? 


No ш 


Don't display this message again 


3-29 IDA 启 动 选 项 


因为 试用 版 的 IDA 无 法 保存 ， 所 以 即使 在 这 些 窗口 上 义 选 “Don”t display this message again”,， 下 次 打开 IDA 还 是 会 出 现 这 些 窗口 ; 虽然 有 些 麻烦 ， 但 这 么 强大 的 工具 都 让 我 们 免费 使 用 ， 麻 烦 
就 麻烦 点 吧 。 


按钮 都 点 完 后 ， 内 容 丰富 的 主 界面 再 次 进入 我 们 眼帘 ， 如 图 3-30 所 示 。 


在 进入 图 3-30 所 示 的 界面 时 ， 你 会 看 到 上 方 的 进度 条 不 断 滚动 ， 下 方 的 Output window 也 会 打印 出 对 文件 的 分 析 进 度 。 当 进度 条 的 主 色调 变 成 蓝 色 (1DA 界 面 上 的 颜色 在 黑白 印刷 页 上 看 不 出 来 ， 请 谅 
fig) , Output window 中 显示 “The initial autoanalysis has been finished.” 时 ， 表 示 IDA 的 初始 分 析 已 完成 。 


在 初学 阶段 ， 由 于 主要 用 IDA 作 静态 分 析 ， 基 本 用 不 上 Output window， 所 以 在 开始 分 析 之 前 ， 可 以 先 关 掉 Output window, 


Bi 


现在 看 到 的 两 个 大 窗口 分 别 是 左 侧 小 部 分 的 Functions window (如 图 3-31 所 示 ) 和 右 侧 大 部 分 的 Main window (如 图 3-32 所 示 ) 。 下 面 分 别 介绍 一 下 这 2 个 窗口 的 


eoe W IDA - /Users/snakeninny/SMSNinja. sees 
BA yy hhh 8 Loss R Q à Š Jk» p > 
—A—— ~ 一 一 一 


_ Library function Data : NS function Щ Unexplored [W Instruction | External symbol E 


.060 


© [5 Hex Vi... Ө Stc. QE. @ RƏ Im... 


SMSNinjaAppli 
SMSNinjaApplic 

sub 8E40 
-[SMSNinjaApplic 
JSMSNinjaApplic 
[F] ISMSNinjaApplic 
[F] ISMSNinjaApplic 
17) {SMSNinjaApplic 


rm 
cfstr Smsninjaapplic 


100.0096 (-2,-152) (241,209) 00050BE4 00008BE4: main 
[=] Output window 


File '/Users/snakeninny SEES .app/SMSNinja' has been — E loaded into the database. 
Compiling file '/Applications/ daq.app/Contents/MacOS/idc/ida.idc' 

Executing function 'main 

Compiling file * /Applications/idaq. app/Contents /MacOS/idc/onioad.idc' 

Executing function 'OnLoad' 

IDA is analysing the input file 

You may start to explore the input file right now. 

P ting type information.. 

Function rA A^ information has been propagated 

The initial autoanalysis has been finished. 


IDC 
AU: idle Down Disk: 781GB 


图 3-30 IDA 主 界面 


7) -ISMSNinjaApplication dealloc] 
4 — applicationDid 


F! РЕА ACE ia А mus li mui ill 


[z | ретт еа ы I A 
[f] TSMSNInjaApplication updateBadge/ 
[7] {SMSNinjaApplication willPresentAle 
[f] ISMSNinjaApplication alertView:click 
-SMSNinjaApplication window] 
ға -ISMSNIinjaApplication setWindow:] 
-ISNBlacklistViewController dealloc] 
-[SNBlacklistViewController loadDatal 
[f] -[SNBlacklistViewController init] 
{SNBlacklistViewController segment/ 
-[SNBlacklistViewController viewDidL 
-[SNBlacklistViewController numberO 
-[SNBlacklistViewController tableView 
-[SNBlacklistViewController tableView 
-[SNBlacklistViewController tableView 
[F| -[SNBlacklistViewController gotoNum 
{SNBlacklistViewController gotoCont 
Fa -[SNBlacklistViewController gotoTime 


explored Instruction External symbol 
. ЭА ӨС HexView1 Ө) Structures ӨГ] Enums os 


Imports Ө 20 Exports 


Wu: | 


图 3-32 Main window 


(1) Functions window 
顾名思义 ， 这 个 窗口 展示 了 IDA 分 析出 来 的 所 有 函数 (规范 地 讲 ，Objective-C 的 function 应 该 称 为 method， 即 方法 ， 此 处 统称 为 函数 ， 请 大 家 注意 ) ， 双 击 一 个 函数 ，Main window 会 显示 它 的 函数 


体 。 在 选中 Function Window 时 点 击 菜单 栏 上 的 “Search” ， 会 弹出 如 图 3-33 所 示 的 子 菜单 。 


ЕЦ View Options Windows 


-[SMSNinjaApplication dealloc] 
-[SMSNinjaApplication applicationDid 
sub 8Е40 

-[SMSNinjaApplication application Will 
QSMSNinjaApplication showPasswor 
-[SMSNinjaApplication updateBadge/ 
-[SMSNinjaApplication willPresentAle 
-[SMSNinjaApplication alertView:click 


333 ”查找 函数 
选择 “Search”， 并 在 图 3-34 的 对 话 框 中 输入 要 查找 的 内 容 ， 可 以 在 所 有 函数 名 里 查找 指定 的 字符 串 ， 十 分 方便 ; 当 要 查找 的 内 容 出 现在 多 个 函数 名 里 时 ， 还 可 以 点 击 “Search again” 来 遍历 这 些 函 
数 名 。 当 然 ， 上 面 的 操作 也 都 可 以 用 IDA 中 显示 的 快捷 键 完成 。 


Functions window 中 的 Objective-C 函 数 与 class-dump 导 出 的 内 容 吻 合 。 除 了 Objective-C 函 数 外 ，1DA 还 将 所 有 subroutine 罗 列 了 出 来 ， 这 是 class-dump 做 不 到 的 。class-dump 导 出 的 内 容 都 是 
Objective-C 函 数 名 ， 可 读 性 高 ， 容 易 上 手 ， 是 iOSs 逆 向 工程 初学 者 的 乐园 ; subroutine 的 名 称 只 是 一 个 代号 ， 没 有 明显 含义 ， 分 析 难 度 大 ， 大 多 数 初学 者 看 到 这 里 就 打 了 退 堂 鼓 。 但 是 ，iOS 的 底层 是 
C++ 实现 的 ， 编 译 之 后 生成 的 大 都 是 subroutine，class-dump 拿 它 没 司 ， 只 能 使 用 IDA 这 样 的 工具 。 要 想 深层 次 挖掘 iOs 中 最 有 趣 的 部 分 ， 掌 握 IDA 的 用 法 是 必 经 之 路 。 


C 和 


€ Enter the search substring 


图 3-34 查找 函数 


(2) Main window 


绝 大 多 数 没 有 用 过 IDA 的 iOS 开 发 者 ， 包 括 笔者 ， 在 第 一 次 看 见 初 始 分 析 完 成 后 的 Main window 时 都 懂 了 一 一 这 都 是 些 什么 玩意 儿 ? 这 是 人 类 文字 吗 ? 还 是 把 IDA 关 了 ， 刷 会 儿 微 博 压 压 惊 吧 。 这 跟 很 
多 工程 师 在 写 第 一 行 代码 时 不 知 如何 下 手 的 感觉 很 类 似 。 其 实 ， 跟 写 代码 时 需要 定义 一 个 入 口 函 数 一 样 ， 在 逆向 工程 里 ， 也 需要 找到 自己 感 兴趣 的 入 口 函数 。 在 Functions window 中 双击 这 个 入 口 函数 ， 
使 得 Main window 跳 转 到 函数 体 ， 然 后 用 鼠标 选中 Main window， 按 一 下 空格 ， 界 面 会 瞬间 变 清爽 ， 可 读 性 一 下 就 强 了 起 来 ， 让 人 感觉 到 “我 的 天 空 ， 星 星 都 亮 了 ” (如 图 3-35 所 示 ) 。 


RO, #(:lower16:(selRef_applicationWillTerminate_ - 0х8Е58)) 
SP, #4 
#(:upper16:(selRef_applicationWillTerminate_ - 0x8E58)) 
#(dword_41C14 - Ох8Е5А) 
PC ; selRef applicationWillTerminate 
PC ; dword 41С14 
"applicationWillTerminate:" 


_objc_msgSend 
RO, #(selRef_terminateWithSuccess - Ox8E6E) 
RO, PC ; selRef terminateWithSuccess 
R1, [RO] ; "terminateWithSuccess" 
RO, [R4] 
{R4,R7,LR} 
j__objc_msgSend 
End of function sub_8E40 


3-35 Graph view 


Main window 有 两 种 显示 模式 ， 分 别 是 Graph view 和 Text view， 它 们 之 间 可 以 通过 空格 键 切换 。Graph view 把 被 分 析 的 程序 逻辑 用 方块 的 形式 表现 出 来 ， 方 便 我 们 分 析 程序 各 个 分 支 之 间 的 关系 。 
各 个 方块 之 间 的 执行 顺序 用 带 箭头 的 线 表示 ， 当 执行 出 现 分 支 时 ， 满 足 判 断 条 件 分 支 的 线 是 绿色 的 ， 否 则 是 红色 的 ; 当 执 行 没有 分 支 时 ， 线 是 蓝 色 的 。 比 如 ， 在 图 3-36 中 ， 当 最 上 面 的 方块 执行 完 后 ， 会 判 
断 RO 是 否 为 0%， 如 果 R0!=0， 则 满足 判断 条 件 (BNE， 即 Branch if Not Equal to zero) ， 走 绿色 的 那 条 路 接着 执行 右边 的 方块 ; 否则 走红 色 的 路 执行 左边 的 方块 。 此 处 是 IDA 的 难点 之 一 ， 后 面 的 实例 中 会 
再 次 讲解 。 


[8Р,#0х114+уаг_1С] 
[R4] 
_1С768 


SP, SP, #0xFC 

(R8,R10,R11) loc_1C768 

(R4-R7,PC) BLX . Stack chk fail 
; End of function sub 1C40C 


3-36 IDA 的 分 支 


细心 的 读者 也 一 定 注 意 到 了 ，1IDA 中 的 字体 色彩 缤纷 ， 事 实 上 ， 不 同 颜色 的 字体 表示 的 含义 也 各 不 相同 ， 如 图 3-37 所 示 。 


function Data function Instruction External bol 


图 3-37 颜色 指示 栏 


当选 中 一 个 符号 时 ， 相 同 的 符号 都 会 用 黄色 高 亮 显示 ， 方 便 跟踪 这 个 符号 的 轨迹 ， 如 图 3-38 所 示 。 


SNNumberViewController - (void)tableView:(id) didSelectRowAtIndexPath: (id) 
Attributes: bp-based frame 


void _ cdecl -[SNNumberViewController tableView:didSelectRowAtIndexPath: ] ( 
. SNNumberViewController tableView didSelectRowAtIndexPath 
PUSH (R4,R5,R7,LR) 


ч f(selRef deselectRowAtIndexPath animated - 0x1B536) 
R3 


PC ; selRef deselectRowAtIndexPath animated 
#1 

[R0] ; "deselectRowAtIndexPath:animated:" 

R2 


18 


, *(selRef section - Ox1B54E) 
, PC ; selRef section 
R1, [R0] ; "section" 


obje- msgSend 
RO, #1 
locret_1B6C4 


‚ #(selRef_row - 0x1B566) 
, PC ; selRef_row 
R1, 180) ; "ком" 


obje msgSend 
RO, #1 
loc_1B60A 


图 3-38 ”符号 高 亮 


双击 符号 ， 可 以 查看 它 的 实现 ， 效 果 与 图 3-35 类 似 。 在 任意 符号 上 点 击 鼠 标 右键 ,会 弹出 如 图 3-39 所 示 的 菜单 。 


И Group nodes 


jua] Rename 


~ Jump to operand 

6] Jump in a new window 
Jump in a new hex window 
Jump to xref to operand... 
List cross references to... 
List cross references from... 
27 Manual... 

f Edit function... 

= Hide 

Text view 

"ы. Proximity browser 

УС Undefine 


ya Xrefs graph to... 
jay Xrefs graph from... 


图 3-39 ”在 符号 上 点 击 右键 


其 中 ， 常 用 的 功能 有 “Jump to xref to operandhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...” (快捷 
键 “x”) ， 点 击 后 出 现 的 窗口 罗列 了 这 个 文件 中 显 式 引 用 这 个 符号 的 所 有 信息 ， 如 图 3-40 所 示 。 


кт 
ES) Up 
E3 Up 
5 Up 
5 Up 
БЫ Up 
БЕ] Up 
E Up 
5 Up 
5 Up 
Е ур 
Е Up 
5 Up 
5 Up 
БЕ Up 
i Up 
5 Up 
Б Up 
C Up 
Б] Up 
БЕ Up 
5 Up 
ш] Up 
БЕ Up 
Е Up 
Е Up 
5 Up 
БШ Up 
БЕ Up 
БЕ Up 


р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 
р 


-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 


sub 8bE40«1E 


-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio... 
-[SMSNinjaApplicatio. .. 
-[SMSNinjaApplicatio... 


J 
š 
à 


i| xrefs to _objc_msgSend 


e 


_objc_msgSend 


ZJIERERREREREERERRERERRRRERERRERER 


图 3-40 Jump to xref to operandhttp://www.hzcourse.com/resource /readBook?path= /openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 


如 果 觉 得 这 种 表示 方法 不 够 直观 ， 更 喜欢 Main window 里 的 Graph view 形 式 ， 可 以 选择 菜 生 


pathz/openresources/teach ebook/uncompressed/15121/OEBPS/Text/.." ， 但 如 果 运 气 不 好 ， 这 个 符号 被 引用 过 多 的 话 ， 就 会 看 到 类 似 图 


3-41 这 样 的 一 | 


团 


ERA "Xrefs graph tohttp://www.hzcourse.com/resource/readBook? 


乱 麻 的 界面 ， 真 是 剪 不 断 ， 理 还 乱 。 


1813-41, 8 


SE NA ae ARREARS, РЭШ 5 7 — Е, "ДЖЕ objc_msgSendSuper2_stret 这 个 符号 被 大 量 引用 。 


3-41 符号 引用 的 Graph view 


相对 地 ，“Xrefs graph fromhttp://www.hzcourse.comy/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/…” 则 会 显示 这 个 符号 显 式 引 用 的 所 有 符 


号 ， 如 图 3-42 所 示 。 


从 图 3-42 可 以 看 到 ，sub_1DC1C 是 个 subroutine， 它 显 式 引 


双击 Main window 里 的 objc_msgSend， 再 双击 _imp_objc_msgSsend， 可 以 看 到 它 来 自 libobjc.A.dylib， 如 图 3-43 所 示 。 


fj objc msgSend, _OBJC_CLASS $_UIApplication 和 _objc_msgSsend,， 而 objc_msgSend 又 显 式 引 用 了 _imp_objc_msgSend。 


_objc_msgSend 


图 3-42 ”查看 sub_1DC1C 显 式 引 用 的 符号 


在 多 数 情况 下 ， 找 到 一 个 感 关 


然后 选择 “texthttp://www.hzcourse.comy/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPSVText/…”， 会 弹 


< 趣 的 符号 时 ， 会 想 进 一 


找 与 这 个 符号 相关 的 所 有 线索 。 一 种 笨拙 但 有 效 的 方法 是 鼠标 选中 Main Window 时 点 击 菜单 栏 上 的 “Search”， 此 时 会 弹 4 


如 图 


3-45 所 示 的 窗口 。 


上 如 图 3-44 所 示 的 


Imports from /usr/lib/libobjc.A.dylib 


Segment type: Externs 
IMPORT _ objc personality vO 
; DATA XREF: -[SNBlacklistViewController act 
+ | text:0000D3DClo ... 
IMPORT _ objc empty cache 
; DATA XREF: _ objc data: OBJC CLASS $ SMSNin 
; | objc data: OBJC METACLASS $ SMSNinjaAppl 
IMPORT — imp objc autoreleasePoolPop 
; CODE XREF: objc_autoreleasePoolPoptj 
; DATA XREF: objc_autoreleasePoolPopio ... 
. imp objc autoreleasePoolPush 
; CODE XREF: objc_autoreleasePoolPushtj 
; DATA XREF: objc autoreleasePoolPushío ... 
. imp objc enumerationMutation 
. CODE XREF: objc_enumerationMutation1lj 
DATA XREF: _objc_enumerationMutationio ... 
. imp оЬјс : getclass ; CODE XREF: objc_getClass1j 
; DATA XREF: objc getClassio ... 
. imp objc msgSend ; CODE XREF: _objc_msgSend1j 
; DATA XREF: objc_msgSendio ... 
. imp objc msgSendSuper2 
; CODE XREF: objc msgSendSuper21j 
; DATA XREF: objc msgSendSuper21o .. 
. imp objc msgSend stret 
; CODE XREF: objc msgSend stret1j 
; DATA XREF:  objc msgSend stretío ... 
. imp objc setProperty 
; CODE XREF: _objc_setPropertytj 
; DATA XREF: _objc_setPropertyto ... 


343 ”查看 外 部 符号 来 源 


“Ее View Options Windows Нер 
next code XC ® ІРА - /Users/snakeninny/SMSNinja.app/SMSNinja 
next data ^D 
next explored ^A oy # па X AR 
next unexplored ay MI ШЇ | 
a, immediate value... X! dermal symbol 
ü, next immediate value ^l @ HexView-1 @[A] Structures 
的 text... XT 
® next text ^T 
& sequence of bytes... 
篇 next sequence of bytes ^B 
not function 
next void "y 
error operand ^P 
all void operands 


1 орег klistViewController -~ (void)viewDidLoad 
шышы јола utes: bp-based frame 


¥ search direction cdecl -[SNBlacklistViewController view? 


图 3-44 在 Main window # # 4X, 


© © Ї® Text search (slow!) 


String bbs.iosre.com| 


Parameters 


. Case sensitive 
Regular expression 
Identifier 


3-45 搜索 文本 


这 时 ， 可 以 根据 自己 的 情况 选择 搜索 是 否 对 大 小 写 敏 感 ， 搜 索 格 式 是 不 是 正则 表达 式 等 ， 然 后 勾 选 “Find all occurences”， 点 击 “OK”，1DA 会 将 文件 中 所 有 满足 搜索 条 件 的 符号 列 出 ， 供 我 们 一 一 
查看 。 


Graph view 提 供 的 功能 非常 多 ， 以 上 只 是 简单 介绍 的 功能 ， 熟 练 地 使 用 它们 是 进行 更 深入 研究 的 保障 。Graph view 的 界面 比较 简洁 ， 各 代码 块 间 逻辑 清晰 ， 适 合 肉 眼 观 看 。 相 对 来 说 ， 现 
阶段 切换 到 Text view 的 机 会 比较 少 ， 一 般 是 在 配合 LLDB 进 行动 态 调试 时 ， 才 会 在 Text view 中 对 界面 左 侧 罗 列 的 符号 地 址 特别 关注 ， 如 图 3-46 所 示 。 


( 
text :00009D9C [8Р,#Ох34+таг_ 20] 
text :00009D9E PC ; classRef_SNBlacklistViewController_0 
text:00009DAO [R1] ; 2OBJC CLASS $ SNBlacklistViewController 
text:00009DA2 $(selRef viewDidLoad - Ox9DAE) 
text:00009DAA PC ; selRef viewDidLoad 
text:00009DAC [R1] ; "viewDidLoad" 
text:00009DAE [5Р,#0х34+уаг 1C] 
text:00009DBO SP, #0x34+var_20 
text:00009DB2 _objc_msgSendSuper2 
text :00009рвб #(selRef_alloc - Ox9DCA) 
text:00009DBE #(classRef_UISegmentedControl - Ox9DCC) 
text:00009DC6 PC ; selRef alloc 
text:00009DC8 PC ; classRef UlSegmentedControl 
text:00009DCA [RO] ; "alloc" 
text :00009DCC [R2] ; _OBJC_CLASS $ UISegmentedControl 
text:00009DCE _objc_msgSend 


图 3-46 Text view 


需要 注意 的 是 ，IDA 的 某 些 Bug 会 导致 Graph view 的 未 端 显示 不 全 (例如 一 个 subroutine 本 来 有 100 行 指令 ， 但 只 显示 了 80 行 ) ， 当 你 对 某 一 个 Graph view 块 中 的 指令 产生 明显 怀疑 时 ， 可 切换 到 Text 
view 看 看 Graph view 是 不 是 漏 显示 了 某 些 代码 。 这 类 Bug 出 现 的 概率 不 大 ， 如 果 你 不 幸 中 彩 ， 欢 迎 来 http://bbs.iosre.com 交 流 解 决 方案 。 


3.4.3 1DA 分 析 示 例 


说 了 IDA 的 这 么 多 使 用 方法 ， 下 面 用 一 个 简单 的 例子 向 大 家 演示 IDA 的 威力 。 越 狱 jOS 的 用 户 都 知道 ， 在 Cydia 中 安装 完 一 个 tweak 后 ，Cydia 会 建议 我 们 “Restart SpringBoard”， 那 么 这 个 respring 的 
操作 是 如 何 实现 的 呢 ? 请 大 家 快速 浏览 3.5 节 ， 用 iFunBox 将 iOS 中 的 “/Systemy/Library/Coreservices/SpringBoard.app/SpringBoard” 拷贝 到 OSX 中 ， 并 用 IDA 打 开 它 ， 等 待 初始 分 析 结 束 后 在 Function 
window 里 搜索 “relaunch SpringBoard" ， 定 位 到 这 个 函数 ， 双 击 跳 转 到 它 的 实现 代码 中 ， 如 图 3-47 所 示 。 


; SpringBoard - (void)relaunchSpringBoard 
; Attributes: bp-based frame 


; void _ cdecl -[SpringBoard relaunchSpringBoard] (struct SpringBoard *self, SEL) 
. SpringBoard relaunchSpringBoard 


{R4,R7,LR} 
SP, #4 
(SP, #4+var_8)! 
SP, #8 
#(_UIApp ptr - 0x1990A) 
#(:lowerl6: (selRef_beginIgnoringInteractionEvents - 0x19912)) 
PC ; _UIApp_ptr 
#(:upperl6: (selRef_beginIgnoringInteractionEvents - 0x19912)) 
[RO] ; _UIApp 
PC ; selRef beginIgnoringInteractionEvents 
[R1] ; "beginIgnoringInteractionEvents" 
[RO] 
_objc_msgSend 
RO, #(off£_40802C - 0x19928) 
#(:lowerl6: (selRef_hideSpringBoardStatusBar - 0x19930) ) 
PC ; off_40802C 
#(:upperl16: (selRef_hideSpringBoardStatusBar - 0x19930) ) 
[RO] ; dword 4DD8B4 
PC ; selRef hideSpringBoardStatusBar 
[R1] ; "hideSpringBoardStatusBar" 


sub 35D2C 

R2, #(:lowerl6: (cfstr_SpringboardRel - 0x1994C)) ; "SpringBoard relaunch" 

RO, #5 

R2, #(:upperl6:(cfstr_SpringboardRel - 0x1994C)) ; "SpringBoard relaunch" 
#0 


; "SpringBoard relaunch" 


Sub 350B8 
f(:lowerl6:(selRef performSelector withObject afterDelay - 0x1996A) ) 
#0 


#(:upper16: (selRef_performSelector_withObject_afterDelay_ - 0х1996А)) 
#(selRef__relaunchSpringBoardNow - 0x1996C) 

PC ; selRef performSelector withObject afterDelay 

PC ; selRef relaunchSpringBoardNow 

[RO] ; "performSelector:withObject:afterDelay:" 

#0x4010 


3-47 — [SpringBoard relaunchSpringBoard] 


可 以 看 到 ， 这 个 函数 的 实现 流程 既 简单 又 清晰 。 根 据 从 上 到 下 的 执行 顺序 ， 首 先 调用 beginlgnoringlnteractionEvents， 开 始 忽略 所 有 用 户 交互 事件 ; 然后 调用 hideSpringBoardStatusBar 来 隐藏 状态 
栏 ; 接着 连续 执行 2 个 subroutine， 分别 是 sub_35D2C 和 sub_350B8。 接 下 来 ， 双 击 sub_35D2C， 跳 转 到 它 的 实现 ， 看 看 它 做 了 什么 ， 如 图 3-48 所 示 。 


在 图 3-48 中 ， 一 眼 就 能 看 到 好 多 含有 “log” 字 样 的 关键 词 ， 先 “initialize”， 然 后 判断 是 否 “enabled”， 最 后 “log”。 稍 微 懂 一 点 英语 的 朋友 都 能 猜 到 ，sub_35D2C 的 作用 是 将 respring 的 一 些 操 
作 记 录 下 来 ， 与 respring 的 主体 功能 无 关 。 点 击 IDA 菜 单 栏 上 的 蓝 色 后 退 按钮 (如 图 3-49 所 示 ) ， 或 直接 按 ESC， 回 退 到 relaunchSpringBoard 函 数 体 中 ， 继 续 往 下 分 析 。 


{R4,R5,R7,LR} 
R7, SP, #8 
SP, SP, #4 
R4, RO 
.BSLoggingInitialize 


RO, #0xFF 
loc 35DA6 


$( FBWorkspaceLoggingEnabled ptr - 0x35D4A) 
PC ; FBWorkspaceLoggingEnabled ptr 

[RO] ; FBWorkspaceLoggingEnabled 

[RO] 

loc 35DA6 


#(selRef_stringWithFormat_ - 0x35D66) 
#(classRef_NSString - 0x35D68) 
#(:lowerl6:(stru_42148C - 0x35D76)) ; "%@" 
PC ; selRef stringWithFormat 
РС ; classRef_NSString 
*(:upperl6:(stru 42148C - 0x35D76)) ; "i6" 
[RO] ; "stringWithFormat:" 
[R2] ; OBJC CLASS $ NSString 
$(:lowerl6:(cfstr S 8 - 0x35D84)) ; "$s() 1e" 
PC ; "se" 
#(:upperl6:(cfstr_S 8 - 0x35D84)) ; "%5() i6" 
#(aSbworkspacerel - 0x35D88) ; "SBWorkspaceRelaunchWhenFinishedTerminat"... 
PC ; "%s() se" 
[SP, #0xC+var C] 
PC ; "SBWorkspaceRelaunchWhenFinishedTerminat"... 
objc msgSend 
, RO 
RO, R4 
.NSStringFromBOOL 
RO 
#(cfstr_Fbworkspacelog - 0x35DA2) ; "FBWorkspaceLog" 


"FBWorkspaceLog" 


RO, $(byte 4DD880 - 0x35DB2) 
RO, PC ; byte 4DD880 
R4, [RO] 
SP, SP, #4 
{R4,R5,R7,PC} 
; End of function sub 35D2C 


图 3-48 sub 35D2C 


图 3-49 后退 按 钮 


双击 sub 350B8， 跳 转 到 如 图 3-50 所 示 的 界面 。 


从 图 3-50 可 以 看 到 ， 这 个 subroutine 只 是 在 为 调用 sub_350C4 作 一 些 准备 工作 而 已 。 双 击 sub_350C4， 跳 转 到 它 的 实现 ， 你 会 发 现 sub_350C4 的 上 半 部 分 与 图 3-48 所 示 的 sub_35D2C 非 常 类 似 ， 都 只 
是 做 了 一 些 操作 记录 。 但 与 sub_ 35D2C 不 同 的 是 ，sub_350C4 还 做 了 一 些 实际 工作 ， 如 图 3-51 所 示 。 


sub 350B8 


MOV R3 


F 
моу R2, 
моу Rl, 
MOVS RO, #2 
B.W sub 350C4 
; End of function sub 350B8 


3-50 sub 350B8 


我 们 现在 还 不 了 解 汇编 语言 ， 只 能 大 致 浏览 一 下 这 些 关键 词 ， 不 过 ， 可 以 猜测 出 这 个 subroutine 的 作用 是 生成 一 个 名 为 “TerminateApplicationGroup” 的 事件 ， 指 定 其 处 理 方法 为 sub 351F8， 然 后 
把 生成 的 事件 加 入 一 个 处 理 队列 里 ， 并 依次 处 理 队列 里 的 事件 ， 从 而 关 掉 所 有 的 App 一 一 商城 关门 之 前 ， 要 关闭 里 面 的 所 有 店铺 ; respring 之 前 ， 自 然 也 要 关 掉 所 有 的 App。 现 在 去 看 看 sub_351F8 的 实 
现 ， 如 图 3-52 所 示 。 


, #(:lowerl6: (classRef_FBWorkspaceEvent - 0x3517E)) 
R10, SP, #0x44+var_34 
#(:upperl6: (classRef_FBWorkspaceEvent - 0x3517E)) 
#(__NSConcreteStackBlock_ptr - 0x35172) 
#(:lowerl6:(selRef_eventWithName handler -~ 0х3519Е)) 
R1, PC ; _ NSConcreteStackBlock_ptr 
$(:upperl6:(selRef eventWithName handler ~ 0х3519Е)) 
&(:lowerl6:(unk 40B640 - 0x351A2)) 
[R1] ; |X&NSConcreteStackBlock 
PC ; classRef FBWorkspaceEvent 
$(:upperl6:(unk 40B640 - 0x351A2)) 
#(cfstr_Terminateappli - 0x351AA) ; "TerminateApplicationGroup" 
[RO] ; ОВЈС CLASS $ FBWorkspaceEvent 
#( 1 - 0x351A4) 
(SP, #0x44+var_3C] 
#0xC2000000 
(SP, #0x44+var_ 38] 
R9, PC ; selRef eventWithName handler 
R1, $0 
R4, PC ; unk 40B640 
R3, PC ; 
R10, {R1,R3,R4} 
R2, PC ; "TerminateApplicationGroup" 
R3, SP, #0x44+var_3C 
R1, [R9] ; "eventWithName:handler:" 
R6, [SP,fOx44*var 24] 
R5, (SP, #0x44+var_20] 
R8, [SP,#0x44+var_1C] 
R11, [SP,#0x44+var_ 28] 


#(selRef_sharedInstance - 0x351D4) 
#(classRef_FBWorkspaceEventQueue - 0x351D6) 
PC ; selRef sharedInstance 
PC ; classRef FBWorkspaceEventQueue 
"sharedInstance" 
.OBJC CLASS $ FBWorkspaceEventQueue 
_objc_msgSend 
1 ноа оа _executeOrAppendEvent_ - 0х351ЕА)) 


| eee = 0х351ЕА)) 
PC ; selRef executeOrAppendEvent 
[R1] ; "executeOrAppendEvent:" 

_objc_msgSend 

SP, SP, #0x2C 

{R8,R10,R11} 

{R4-R7, PC} 

End of function sub_350C4 


图 3-51 sub 350C4 


[RO, #0х18] 
[RO, #0x14] 
[RO, #0х1С] 
[RO, #0х20] 
R9 


. BKSTerminateApplicationGroupForReasonAndReportWithDescription 
End of function sub 351F8 


图 3-52 sub 351F8 


从 BKSTerminateApplicationGroupForReasonAndReportWithDescription 的 名 字 来 看 ， 其 作用 已 经 很 明显 了 ， 它 印证 了 刚刚 对 sub_350C4 的 分 析 。 再 次 回 退 到 relaunchSpringBoard 函 数 体 里 ， 到 
这 里 ,分 析 已 经 接近 尾声 了 : 函数 调用 _relaunchSpringBoardNow， 完 成 respring 操 作 。 


不 需要 了 解 汇编 代码 ， 也 不 用 熟悉 调用 规则 ， 我 们 以 几乎 零 基础 的 水 平成 功 完成 了 这 次 逆向 工程 ， 不 是 吗 ” 当 然 ， 这 不 能 说 明 我 们 的 水 平 有 多 么 高 深 ， 而 是 提醒 我 们 应 该 为 拥有 IDA 这 样 强大 且 免 费 的 
神器 感到 幸运 ， 从 而 激励 我 们 加 倍 努 力 。 在 绝 大 多 数 情况 下 ， 对 1DA 的 使 用 跟 上 面 的 示例 没有 本 质 区 别 ， 你 只 需要 耐 着 性 子 ， 仔 细 咀 鄙 IDA 呈 现 出 的 每 一 行 代码 ， 要 不 了 多 久 ， 你 就 会 深切 感受 到 逆向 工程 的 
艺术 之 美 。 


1DA 的 用 法 远 不 止 本 节 所 示 的 这 么 简单 ， 如 果 你 在 使 用 过 程 中 有 任何 疑问 ， 都 欢迎 来 http://bbs.iosre.com 讨 论 交 流 。 


3.5 iFunBox 


iFunBox (如 图 3-53 所 示 ) 是 一 款 老牌 iOS 文 件 管理 工具 ， 可 以 非常 方便 地 操作 iOs 中 的 文件 。 


eoo iFunBox 


P e Gp т e s FunMaker 5 | iP... 


New Folder Refresh Go Up Level Copy From Mac Copy To Mac Install App Current Device 


My Mac | Name Size 
v "wFunMaker 5(iPhone 5, 1058.1) B Trashes 
>» À User Applications file 0B 
> @ System Applications B .fseventsd 


> @App File Sharing [Applications 


B Library 
В System 
B User 


General Storage 
@ Camera 


@ Camera1 Babin 
0) Сатега2 By boot 
© Cydia App Install Ва cores 
Ringtones Im dev 
О iBooks Mete 
Н Voice Memos Bilib 

є Raw File System 


图 3-53 iFunBox 


ifFunBox 的 使 用 并 不 复杂 ， 我 们 主要 用 到 的 是 它 的 文件 传输 功能 。 有 一 点 需要 注意 的 是 ， 越 狱 iOS 必 须 安装 “Apple File Conduit 2” (如 图 3-54 所 示 ) ， 简 称 AFC2， 这 样 iFunBox 才 能 够 浏览 iOS 全 系 
统 文件 ， 而 且 这 也 是 接 下 来 大 部 分 操作 的 先决 条 件 。 


seco 中 国联 通 3G 2. 10:23 О 64% ШШ ) 


< Installed Details Modify 


Apple File Conduit "2" 
1.2 


—. Change Package Settings > 


+ Author Jay Freeman (saurik) > 


This a replacement for packages such 
as afc2add, and | think it is compatible 
with all IOS versions (including 8.x!). 


\ (A special thank you to @ PoomSmart 
. for his help achieving iOS 8 support!) 


(Version 1.2 fixes a small bug in 1.1 


| (or at least so says TheiPhoneWliki :/), 
and is how computer applications such 
as iTunes and iPhoto can read and 


jx e e o Ө Q 


ydia Sources hanges Installed earch 


图 3-54 Apple File Conduit 2 


3.6 dyld decache 


安装 了 iFunBox 和 AFC2 之 后 ， 不 少 读者 会 迫不及待 地 开始 浏览 iOS 文 件 系统 ， 看 看 这 个 封闭 平台 的 表面 下 到 底 暗藏 了 多 少 玄机 。 相 信 大 家 很 快 就 会 发 现 一 个 问 
Em: “/System/Library/Frameworks/”、“/System/Library/PrivateFrameworks/” 等 目录 下 ， 怎 么 没有 库 文件 ? 


MIOS 3.1 开 始 ， 包 括 frameworks 在 内 的 许多 库 文件 被 存 进 了 一 个 大 cache 里 ， 这 个 cache 文 件 位 于 “/System/Library/Caches/com.apple.dyld/dyld_shared cache armx” (名 为 
dyld shared cache armv7、dyld_shared_cache armv7s 或 dyld_shared_cache_arm64) ， 可 以 使 用 KennyTM 开 发 的 dyld_decache 将 其 中 的 二 进 制 文件 提取 出 来 。 这 样 做 的 好 处 是 确保 分 析 的 文件 来 
本 机 ， 在 使 用 Mac 工 具 集 与 OS 工具 集 分 析 同 一 目标 时 ，OSX 与 iOS 上 分 析出 的 指令 和 地 址 等 数据 是 完全 吻合 的 ， 避 免 了 出 现 驴 唇 不 对 马 嘴 的 低级 错误 。 有 关 这 个 cache 的 进一步 介绍 ， 可 以 参阅 DHowett 的 
博客 (http://blog.howett.net/2009/09/cache-or-check/) 。 


= 


使 用 dyld_decache 之 前 , 35 "/System/Library/Caches/com.apple.dyld/dyld shared cache armx" 用 iFunBox (不 能 用 scp) 从 iOS 拷 贝 到 OSX 中 。 然 后 
JAhttps://github.com/downloads/kennytm/Miscellaneous/dyld decache[v0.1c].bz2 下 载 dyld_decache。 解 压 之 后 赋予 其 可 执行 权限 ， 如 下 : 


nakeninnysiMac:- snakeninny$ chmod +x /path/to/dyld decache\ [у0.1с\] 


然后 开始 提取 二 进 制 文件 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ /path/to/dyld_decache\[v0.1c\] -o /where/to/store/decached/binaries/ /path/to/dyld shared cache armx 


0/877: Dumping '/System/Library/AccessibilityBundles/AXSpeechImplementation.bundle/AXSpeechImplementation'http://www.hzcourse.com/resource/readBook?path=/openresources/teach 
1/877: Dumping '/System/Library/AccessibilityBundles/AccessibilitySettingsLoader.bundle/AccessibilitySettingsLoader'http://www.hzcourse.com/resource/readBook?path-/openresour 
2/877: Dumping '/System/Library/AccessibilityBundles/AccountsUI .axbundle/AccountsUI 'http: / /www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/151 


提取 出 的 所 有 二 进 制 文件 都 存放 在 了 “/where/to/store/decached/binaries/” 下 。 值 得 一 提 的 是 ， 逆 向 工程 过 
提 到 的 scp 工 具 把 iOS 文 件 系 统 拷贝 一 份 存在 OSX 里 。 


要 分 析 的 二 进 制 文件 现在 散落 在 OSX 和 iOS 两 个 系统 中 ， 不 方便 查找 ， 建 议 利 


下 一 章 
3.7 Л 
本 章 重点 介绍 了 class-dump、Theos、Reveal、IDA 这 4 个 工具 ， 熟 悉 它们 的 使 用 方法 ， 是 我 们 一 步 步 掌握 iOS 逆 向 工程 的 前 提 。 
#48 10518 
第 3 章 介 绍 了 iOS 逆 向 工程 的 OSX 工 具 集 ， 为 了 完成 iOS 疼 向 工程 ， 还 需要 在 iOS 上 安装 、 配 置 一 系列 工具 ， 将 两 个 平台 联动 起 来 。 以 下 的 操作 均 在 iPhone 5, iOS 8.1 中 完成 ， 如 果 你 在 使 用 中 碰 到 了 问 
题 ， 请 到 http://bbs.iosre.com 上 交流 反馈 。 


4.1 CydiaSubstrate 


CydiaSubstrate (如 图 


4-1 所 示 ) 是 绝 大 部 分 tweak 正 常 工作 的 基础 ， 它 由 MobileHooker、MobileLoader 和 Safe mode 组 成 。 


4.1.1 MobileHooker 


图 4-1 CydiaSubstrate 的 logo 


MobileHooker 的 作用 是 替换 系统 函数 ， 也 就 是 所 谓 的 hook， 它 主要 包含 以 下 两 个 函数 : 


void MSHookMessageEx (Class class, SEL selector, IMP replacement, IMP *result); 
void MSHookFunction(void* function, void* replacement, void** p original); 


一 个 NSString 对 象 发 送 hasSuffix 消 息 (B| 


hasSuffix: 消 息 后 ， 实 际 进行 的 操作 是 “ 口 


其 中 MSHookMessageEx 作 用 于 Objective-C 函 数 ， 通 过 调用 method setlmplementationg&Zir&[class selector] 的 实现 改 为 replacement， 达 到 hook 的 目的 。 这 是 什么 意思 呢 ? Na 


的 例子 ， 向 


调用 [NSString hasSuffix:]) ， 正 常情 况 下 它 的 实现 是 判断 NSString 对 象 有 没有 某 个 后 缀 ; 如 果 把 这 个 实现 蔡 换 成 hasPrefix: 的 实现 ， 那 么 NSstring 对 象 在 收 到 


是 心 3 


F” 地 判断 这 个 NSstring 对 象 有 没有 某 个 前 缀 (prefix) 。 是 不 是 容易 理解 一 些 了 ? 


第 3 章 提 到 的 Logos 语 法 主要 是 对 此 函数 作 了 一 层 封 装 ， 让 编写 针对 Objective-C 函 数 的 hook 代 码 变 得 更 简单 直观 了 ， 但 其 底层 实现 仍 完全 基于 MSHookMessageEx。 对 于 Objective-C 函 数 的 hook， 
推荐 使 用 更 一 目 了 然 的 Logos 语 法 。 如 果 对 MSHookMessageEx 本 身 的 使 用 感 兴趣 ， 可 以 去 看 它 的 官方 文档 ,或 者 Google 搜 索 “cydiasubstrate fuchsiaexample" , 
以 “http://www.cydiasubstrate.com” 开 头 的 那个 链接 就 是 了 。 


MSHookFunction 作 用 于 C 和 C++ 函数 ， 通 过 编写 汇编 指令 ， 在 进程 执行 到 function 时 转 而 执行 replacement， 同 时 保存 function 的 指令 及 其 返回 地 址 ， 使 得 用 户 可 以 选择 性 地 执行 functi 


进程 能 够 在 执行 完 replacement 后 继续 正常 运行 。 


上 面 这 段 话 可 能 有 些 隐 涩 难 懂 ， 这 里 


两 张 


图 来 解释 一 下 ， 先 看 图 4-2。 


on， 并 保证 


在 图 4-2 中 ， 进 程 先 执行 一 些 指令 ， 再 执行 函数 A， 接 着 执行 剩 下 的 指令 。 如 果 钩 住 (hook) 了 函数 A ( 即 上 面 说 的 function) ， 想 用 函数 B ( 即 replacement) 替换 它 ， 那 么 进程 的 执行 流程 就 变 成 了 


图 4-3 的 样子 。 


Process 


[nstructions 


Function А 


[nstructions 


Process 


[nstructions ТТТ 


Function B 


[nstructions 


43 用 B 替 换 A 


在 图 4-3 中 ， 进 程 先 执行 一 些 指令 ， 在 原本 应 该 执行 函数 A 的 地 方 跳 转 到 函数 B 的 位 置 执行 函数 B， 同 时 函数 A 的 代码 被 MobileHooker 保 存 了 下 来 。 在 函数 B 中 ， 可 以 选择 是 否 执行 函数 A， 以 及 何 时 执行 
函数 A， 在 函数 B 执 行 完成 后 ， 则 会 继续 执行 剩 下 的 指令 。 


值得 注意 的 是 ，MSHookFunction 对 function 的 指令 总 长 度 是 有 要 求 的 ， 即 function 里 所 有 指令 加 起 来 的 长 度 不 能 太 短 (saurik 曾 在 非 正式 的 场合 里 说 过 大 约 是 至 少 8 字 节 ， 但 此 数字 未 经 严格 验证 ， 
请 不 要 以 此 为 准 ) 。 那 么 你 可 能 会 问 了 ， 如 果 想 钧 住 (hook) 那些 短 函数 ， 该 怎么 办 呢 ? 


一 种 变通 的 方法 是 钩 住 (hook) 短 函 数 内 部 调用 的 其 他 函数 一 一 短 函 数 之 所 以 短 ， 是 因为 内 部 一 般 都 调用 了 其 他 函数 ， 由 其 他 函数 来 做 出 实际 操作 。 因 此 把 长 度 满足 要 求 的 其 他 函数 作为 
MSHookFunction 的 目标 ， 然 后 在 replacement 里 做 一 些 逻 辑 判断 ， 将 它 与 短 函数 关联 上 ， 再 把 对 短 函 数 的 修改 写 在 这 里 就 好 了 。 


如 果 看 了 这 两 段 话 仍 有 不 解 之 处 ， 没 关系 ， 在 了 解 了 MSHookFunction 大 概 的 工作 原理 之 后 ， 会 以 一 个 简单 的 例子 ， 解 释 上 面 提 到 的 这 些 内 容 。 需 要 说 明 的 是 ， 这 个 例子 里 会 涉及 比较 多 的 底层 知识 ， 
对 于 新 手 来 说 理解 会 有 一 定 的 困难 ， 如 果 接 触 逆向 工程 的 时 间 不 长 ， 看 不 懂 下 面 的 例子 也 没关系 ， 直 接 跳 到 4.1.2 节 吧 。 当 你 在 实际 操作 中 碰 到 了 类 似 的 情况 ， 再 来 回 看 这 一 小 节 ， 相 信 那 时 会 对 这 些 内 容 有 


更 好 的 理解 。 此 外 ， 欢 迎 来 http://bbs.iosre.com 参 与 讨论 。 


下 面 一 起 来 完成 如 下 操作 。 


1) 用 Theos 新 建 iOSRETargetApp， 命 令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
[1.] iphone/application 
[2.] iphone/library 
[3.] iphone/preference bundle 
[4.] iphone/tool Е 
[5.] iphone/tweak 
Choose a Template (required): 1 
Project Name (required): iOSRETargetApp 
Package Name [com.yourcompany.iosretargetapp]: com.iosre.iosretargetapp 
Author/Maintainer Name [snakeninny]: snakeninny 
Instantiating iphone/application in iosretargetapp/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 


2) 修改 RootViewControllermm， 命 令 如 下 : 


#import "RootViewController.h" 
class CPPClass 
{ 
Public: 
void CPPFunction (const char *); 
1; 
void CPPClass::CPPFunction(const char *агд0) 
{ 
for (int i = 0; i < 66; i++) // This for loop makes this function long enough to validate MSHookFunction 
{ 
u_int32_t randomNumber; 
if (i $ 3 == 0) randomNumber = arc4random uniform(i); 
NSProcessInfo *processInfo = [NSProcessInfo processInfo]; 
NSString *hostName = processInfo.hostName; 
int pid = processInfo.processIdentifier; 
NSString *globallyUniqueString = processInfo.globallyUniqueString; 
NSString *processName = processInfo.processName; 
NSArray *junks = @[hostName, globallyUniqueString, processName] ; 
NSString *junk = Q""; 
for (int j = 0; j < pid; j++) 
{ 


if (pid % 6 == 0) junk = junks[j % 3]; 


1) NSLog(@"Junk: 


‚ junk); 


NSLog(G"iOSRE: CPPFunction: %s", arg0); 
} 
extern "С" void CFunction(const char *arg0) 
{ 
for (int i = 0; i < 66; 1++) // This for loop makes this function long enough to validate MSHookFunction 
{ 
u_int32_t randomNumber; 
if (i % 3 == 0) randomNumber = arc4random uniform(i); 
NSProcessInfo *processInfo = [NSProcessInfo processInfo]; 
NSString *hostName - processInfo.hostName; 
int pid = processInfo.processIdentifier; 
NSString *globallyUniqueString - processInfo.globallyUniqueString; 
NSString *processName - processInfo.processName; 
NSArray *junks = @[hostName, globallyUniqueString, processName]; 
NSString *junk - Q""; 
for (int j = 0; j < pid; j++) 
{ 
if (pid % 6 == 0) junk = junks[j % 3]; 


if (i % 68 == 1) NSLog(@"Junk: %@", junk); 
} 
NSLog (@"1О$ВЕ: CFunction: %s", arg0); 
} 
extern "C" void ShortCFunction(const char *arg0) // ShortCFunction is too short to be hooked 


CPPClass cppClass; 
cppClass.CPPFunction (arg0) ; 


Gimplementation RootViewController 

=- (void)loadView { 
self.view = [[[UIView alloc] initWithFrame:[[UIScreen mainScreen] applicationFrame]] autorelease]; 
self.view.backgroundColor = [UIColor redColor]; 


(void) viewDidLoad 


[super viewDidLoad] ; 
CPPClass cppClass; 
cppClass.CPPFunction("This is a C++ function!"); 
CFunction("This is a C function!"); 
ShortCFunction("This is a short C function!"); 

} 

@епа 


上 面 简单 地 写 了 一 个 CPPClass::CPPFunction、 一 个 CFunction 和 一 个 ShortCFunction， 作 为 hook 的 对 象 。 这 里 特意 在 CPPClass::CPPFunction 和 CFuntion 里 添加 了 一 些 无 用 代码 ， 目 的 仅仅 是 增加 
这 两 个 函数 的 长 度 ， 使 得 针对 它们 俩 的 MSHookFunction 生 效 。 而 ShortCFunction 会 因 长 度 太 短 ， 导 臻 针对 它 的 MSHookFunction 失 效 。 但 是 在 接 下 来 的 tweak 中 会 巧妙 地 回避 这 个 问题 。 


3) 修改 iOSRETargetApp 的 Makefile 并 安装 ， 命 令 如 下 : 


THEOS_DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
APPLICATION NAME = iOSRETargetApp 
iOSRETargetApp FILES = main.m iOSRETargetAppApplication.mm RootViewController.mm 
iOSRETargetApp FRAMEWORKS = UIKit CoreGraphics 
include $(THEOS МАКЕ PATH) /application.mk 
after-install:: 
install.exec "su mobile -c uicache" 


标 。 在 Terminal 里 运行 “make package install” 命 令 将 其 安装 到 设备 上 。 运 行 


[ 


在 上 面 这 段 代码 中 ， 最 后 那 名 “su mobile-c uicache” 用 来 刷新 桌面 UI 缓存 ， 显 示 出 iOSRETargetApp 
iOSRETargetApp， 待 红色 背景 显示 之 后 ssh 到 jiOS 上 ， 看 看 产生 的 输出 与 期 待 的 结果 是 否 相符 ， 如 下 : 


FunMaker-5:~ root# grep iOSRE: /var/log/syslog 

Nov 18 11:13:34 FunMaker-5 iOSRETargetApp[5072]: iOSRE: CPPFunction: This is a C++ function! 
Nov 18 11:13:34 FunMaker-5 iOSRETargetApp[5072]: iOSRE: CFunction: This is a C function! 

Nov 18 11:13:35 FunMaker-5 iOSRETargetApp[5072]: iOSRE: CPPFunction: This is a short C function! 


4) 用 Theos 新 建 :OSREHookerTweak， 命 令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
[1.] iphone/application 
[2.] iphone/library 
[3.] iphone/preference bundle 
[4.] iphone/tool ~ 
[5.] iphone/tweak 
Choose a Template (required): 5 
Project Name (required): iOSREHookerTweak 
Package Name [com.yourcompany.iosrehookertweak]: com.iosre.iosrehookertweak 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.iosre.iosretargetapp 


[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]: iOSRETargetApp 
Instantiating iphone/tweak in iosrehookertweak/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 


5) 修改 Tweak.xm， 命 令 如 下 : 


#import <substrate.h> 

void (*old ZN8CPPClassllCPPFunctionEPKC) (void *, const char *); 

void new ZN8CPPClassllCPPFunctionEPKc (void *hiddenThis, const char *arg0) 

{ 
if (strcmp (arg0， "This is a short C function!") == 0) old_ZN8CPPClass11CPPFunctionEPKc (hiddenThis, "This is a hijacked short C function from new ZN8CPPClassllCPPFunctic 
else old ZN8CPPClassllCPPFunctionEPKc(hiddenThis, "This is a hijacked C++ function!"); 

} 

void (*old CFunction) (const char *); 

void new_CFunction(const char *arg0) 


old CFunction("This is а hijacked C function!"); // Call the original CFunction 


void (*old ShortCFunction) (const char *); 
void new_ShortCFunction (const char *агд0) 
{ 
old CFunction("This is a hijacked short C function from new ShortCFunction!"); // Call the original ShortCFunction 
} 
%ctor 
{ 
@autoreleasepool 
{ 
MSImageRef image = MSGet ImageByName ("/Applications/iOSRETargetApp.app/iOSRETargetApp") ; 
void * ZN8CPPClass11CPPFunctionEPKe = MSFindSymbol (image, " ZN8CPPClassllCPPFunctionEPKc"); 
if (__ZN8CPPClass11CPPFunctionEPKc) NSLog(@"iOSRE: Found CPPFunction!"); 
MSHookFunction ( (void *) ZN8CPPClass11CPPFunctionEPKe, (void *)&new  ZN8CPPClassllCPPFunctionEPKc, (void **)&0ld_ZN8CPPClass11CPPFunctionEPKc) ; 
void * CFunction = MSFindSymbol (image, " CFunction"); 
if ( CFunction) NSLog(8"iOSRE: Found CFunction!"); 
MSHookFunction ( (void *) CFunction, (void *)&new CFunction, (void **)&old CFunction); 
void * ShortCFunction = MSFindSymbol (image, " ShortCFunction"); 
if ( ShortCFunction) NSLog(8"iOSRE: Found ShortCFunction!"); 
MSHookFunction((void *) ShortCFunction, (void *)&new ShortCFunction, (void **)&old ShortCFunction); // This MSHookFuntion will fail because ShortCFunction is too sk 


在 这 段 代 码 中 ， 有 很 多 需要 注意 的 地 方 ， 如 下 所 示 。 


* MSFindSymbol $4 Е Jf] 


简单 地 说 ，MSFindSymbol 的 作用 是 查找 待 钩 住 (hook) 的 symbol。 那 symbol 又 是 什么 呢 ? 


在 计算 机 中 ， 一 个 函数 的 指令 被 存放 在 一 段 内 存 中 ， 当 进程 需要 执行 这 个 函数 时 ， 它 必须 知道 要 去 内 存 的 哪个 地 方 找到 这 个 函数 ， 然 后 执行 它 的 指令 。 也 就 是 说 ， 进 程 要 根据 这 个 函数 的 名 称 ， 找 到 它 
在 内 存 中 的 地 址 ， 而 这 个 名 称 与 地 址 的 映射 关系 ， 是 存储 在 “symbol table” 中 的 一 一 “symbol table" 中 的 symbol 就 是 这 个 函数 的 名 称 ， 进 程 会 根据 这 个 symbol 找 到 它 在 内 存 中 的 地 址 ， 然 后 跳 转 过 去 
执行 。 


试想 这 样 一 个 场景 : 你 的 软件 调用 了 一 个 库 ， 这 个 库 里 有 一 个 lookup 函 数 ， 用 于 到 你 的 服务 器 上 查询 信息 。 另 一 个 软件 如 果 知 道 了 这 个 函数 的 symbol， 那 它 岂 不 是 可 以 导入 这 个 库 ， 然 后 随意 调 
ookup， 消 耗 你 的 服务 器 资源 ， 为 它 自己 提供 便利 ? 


为 了 避免 这 种 情况 ，symbol 被 分 为 2 类 ， 即 public symbol5private symbol (其 实 还 有 一 类 stripped symbol， 但 跟 本 章 关 系 不 大 ， 这 里 就 不 介绍 了 ， 感 兴趣 的 朋友 可 以 浏览 下 面 提供 的 参考 链接 ， 或 
自行 查阅 相关 资料 ) 。 别 人 的 private symbol 不 是 你 想 用 ， 想 用 就 能 用 。 也 就 是 阅 ，MSHookFunction 直 接 作用 在 private symbol 上 是 无 效 的 。 所 以 saurik 提 供 了 MSFindSymbol 这 个 APl 来 访问 private 
symbol。 如 果 你 仍然 不 清楚 什么 是 symbol， 只 需要 记 住 下 面 的 写法 就 好 : 


MSImageRef image = MSGetImageBYName ("/path/to/binary/who/contains/the/implementation/of/symbol") ; 
void *symbol = MSFindSymbol (image, "symbol"); 


其 中 MSGetlmageByName 的 参数 是 “symbol 代 表 的 函数 其 实现 (implementation) 所 在 的 二 进 制 文 件 的 全 路 径 ”。 不 说 绕口令 ， 举 个 例子 ，NSLog 函 数 的 实现 位 于 Foundation 库 ， 所 以 对 于 
NSLog 这 个 symbol| 来 说 ，MSGetlmageByName 的 参数 就 应 该 是 “/System/Library/Frameworks/Foundation.framework/Foundation”。 简 单 吧 ? 


对 MSFindSymbol 函 数 更 详细 的 解释 可 以 参考 其 官方 文档 http://www.cydiasubstrate.com/api/c/MSFindSymbol/; 关于 symbol 的 种 类 及 定义 ， 请 阅读 http://msdn.microsoft.com/en- 
us/library/windows/hardware/ff553493(v=vs.85).aspx, 以 及 http://en.wikibooks.org/wiki/Reverse_Engineering/Mac OS X#Symbols Types， 或 者 自行 查阅 相关 资料 。 


` symbol 的 来 源 


你 可 能 已 经 注意 到 了 ， 我 们 在 iOSRETargetApp 的 RootViewControllermm 中 定义 的 3 个 函数 名 分 别 是 CPPClass::CPPFunction、CFunction 和 ShortCFunction， 怎 么 到 了 iOSREHookerTweak 的 
tweak.xm 里 ， 它 们 却 变 成 了 _ZN8CPPClass11CPPFunctionEPKc、_CFunction 和 _ShortCFunction? 简单 地 说 ， 这 是 因为 编译 器 对 函数 名 做 了 进一步 的 处 理 。 处 理 过 程 是 什么 样 的 不 需要 关心 ， 我 们 关心 
的 是 处 理 结果 ， 这 3 个 以 下 划 线 开头 的 symbol 是 怎么 来 的 ?因为 在 实战 中 ， 我 们 拿 不 到 被 nook 函 数 的 源 代码 ， 所 以 一 般 情况 下 ， 这 些 symbol 都 是 从 IDA 对 二 进 制 文件 的 分 析 结 果 中 提取 的 。 下 面 来 看 一 个 简 
单 的 例子 。 


把 iOSRETargetApp 二 进 制 文件 丢 到 IDA 里 ， 初 始 分 析 完 成 后 的 Functions Window 如 


4-4 所 示 。 


[D 


Function пате 
_тап 
-[iOSRETargetAppApoplication applicationD... 
-iOSRETargetAppApolication dealloc] 
-[i|iOSRETargetAppApplication window] 
-[jOSRETargetAppApplication setWindow:] 
CPPClass::CPPFunction(char const*) 
_CFunction 
_ShortCFunction 
-[RootViewController load View] 


-[RootViewController viewDidLoad] 
j objc setProperty nonatomic 
.objc msgSend 

.objc msgSendSuper2 

.objc msgaSend stret 


 arcárandom uniform 


Function window 


可 以 看 到 ，CPPClass::CPPFunction(char const*)、_CFunction 和 _ShortCFunction 位 列 其 中 。 双 击 “CPPClass::CPPFunction(char const*)” ， 跳 转 到 其 实现 上 ， 如 图 


第 4 行 下 划 线 开头 的 这 个 字符 串 ， 就 是 我 们 要 找 的 Symbol。 同 理 ，_CFunction 和 _ShortCFunction 的 来 源 也 显而易见 了 ， 如 图 4-6 和 图 4-7 所 示 。 


4-5 所 示 。 


; Attributes: bp-based frame 


; CPPClass::CPPFunction(char const*) 
EXPORT _ ZNSCPPClassllCPPFunctionEPKc 
_ .ZNBCPPClassllCPPFunctionEPKc 


-0x48 
-0x44 
=0x 40 
-0x3C 
-0x38 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x20 
-OÜxlC 


EXPORT _ShortCFunction 
_ShortCFunction 


MOV 


4-7 ShortCFunction 


R1, RO 


此 方法 适用 于 查找 任何 symbol， 在 初学 阶段 ， 建 议 不 要 纠结 symbo| 是 怎么 生成 的 ， 对 这 个 知识 点 的 “不 知 其 所 以 然 ” 无 伤 大 牙 ， 只 需要 记 住 ymbol 跟 函数 名 不 同 就 够 了 。 在 学 习 逆向 工程 的 整个 过 程 
中 ，symbol 的 概念 一 定 会 潜移默化 地 融入 你 的 知识 体系 ， 无 须 刻意 去 强化 。 


- MSHookFunction 的 写法 


MSHookFunction 的 三 个 参数 的 作用 分 别 是 : 某 换 的 原 函 数 、 茶 换 函 数 ， 以 及 被 MobileHooker 保 存 的 原 函 数 。 红 花 还 需 绿叶 衬 ， 重 


体系 来 承载 它 ， 这 个 体系 的 写法 如 下 : 


独 的 一 个 MSHookFunction 函 数 是 没有 意义 的 ， 需 要 有 一 套 固 定 的 


#import <substrate.h> 
returnType (*old symbol) (args); 
returnType new_symbol (args) 


ii 
// Whatever 


void InitializeMSHookFunction(void) // This function is often called in $ctor i.e. constructor 


{ 


MSImageRef image = MSGetImageByName ("/path/to/binary/who/contains/the/implementation/of/symbol") ; 
void *symbol = MSFindSymbol (image, "symbol"); 

if (symbol) MSHookFunction((void *)symbol, (void *)&new symbol, (void **)&old symbol); 

else NSLog(@"Symbol not found!"); 


相信 对 比 了 上 面 的 Tweak.xm， 你 很 快 就 能 理解 这 套 体系 的 含义 了 。 与 symbol 的 情况 类 似 ， 在 实战 中 ， 我 们 拿 不 到 被 钩 住 (hook) 的 函数 的 源 代码 ， 函 数 的 原型 我 们 是 不 知道 的 ， 因 此 returnType 究 


竟 是 什么 ，args 一 共有 几 个 ， 各 是 什么 类 型 ， 我 们 一 无 所 知 。 这 时 ， 就 需要 借助 更 高 级 的 逆向 工程 技术 来 还 原 出 被 钧 住 (hook) 的 函数 原型 了 。 这 部 分 知识 会 在 第 6 章 和 


点 讲述 ， 现 在 不 理解 完全 是 正常 


的 。 建 议 读者 在 看 完 第 6 章 后 复习 本 节 的 内 容 ， 一 定 会 有 新 的 体会 。 


6) 修改 IOSREHookerTweak 的 Makefile 并 安装 ， 命 令 如 下 : 


THEOS DEVICE IP = iOSIP 


ARCHS = armv7 arm64 


TARGET = iphone:latest:8.0 

include theos/makefiles/common.mk 
TWEAK NAME = iOSREHookerTweak 
iOSREHookerTweak FILES = Tweak.xm 
include $(THEOS MAKE PATH) /tweak.mk 


after-install:: 
install.exec 


"killall -9 iOSRETargetApp" 


到 这 里 ， 请 再 次 运行 |OSRETargetApp， 看 看 产生 的 输出 ， 确 定 结果 是 否 符合 预期 ， 如 下 : 


FunMaker-5:~ root# grep iOSRE: /var/log/syslog 


Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: 
Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: 
Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: 


Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: 


iOSRE: Found CPPFunction! 
iOSRE: Found CFunction! 
iOSRE: Found ShortCFunction! 


iOSRE: CFunction: This is a hijacked C function! 


] 
] 
] 
Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: CPPFunction: This is a hijacked C++ function! 
] 
] 


Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: 


iOSRE: CPPFunction: This is a hijacked short C function from new ZN8CPPClassllCPPFunctionEPKc! 


值得 一 提 的 是 ， 对 短 函 数 (BUShortCFunction) 的 直接 hook 失 效 了 (否则 会 输出 “This is a hijacked short C function from new ShortCFunction!" ) ， 而 对 短 函 数 内 部 调用 的 其 他 函数 (BU 
CPPClass::CPPFunction) 的 hook 却 是 有 效 的 ， 可 通过 判断 它 的 参数 ， 推 测 出 它 的 调用 者 是 ShortCFunction， 这 样 一 来 ， 即 可 间接 hook 短 函数 ， 从 而 达到 围魏救赵 的 效果 。 以 上 介绍 的 MSHookFunction 


体系 基本 涵盖 了 初学 者 可 和 


4.1.2 MobileLoader 


8 磅 到 的 所 有 问题 ， 由 于 Theos 仅 提供 了 MSHookMessageEx 的 封装 ， 掌 握 这 套 体系 的 用 法 就 显得 尤 》 


了 。 如 果 还 有 什么 不 明白 的 地 方 ， 可 到 http://bbs.iosre.com 上 讨论 。 


MobileLoader 的 作 


是 加 载 第 三 方 dylib。 在 iOS 启 动 时 ,会 由 launchd 将 MobileLoader 载 入 内 存 ， 然 后 MobileLoader 会 根据 dylib 的 同名 plist 文 件 指定 的 作 


范围 


， 有 选择 地 在 不 同 进程 里 通过 


dlopen 函 数 打开 目 录 /Library/MobileSubstrate/DynamicLibraries/ 下 的 所 有 dylib。 这 个 plist 文 件 的 格式 已 在 Theos 部 分 详细 讲解 ， 此 处 不 再 敖 述 。 对 于 大 多 数 初级 iOS 逆 向 工程 师 来 说 ，MobileLoader 的 
工作 过 程 是 完全 透明 的 ， 此 处 仅 作 简单 了 解 即 可 。 


4.1.3 Safe mode 


应 用 的 质量 良 鞠 不 齐 ， 程 序 贿 溃 在 所 难免 。 因 为 tweak 的 本 质 是 dylib， 寄 生 在 别 的 进程 里 ， 一 旦 出 错 ， 可 能 会 导致 整个 进程 朋 溃 ， 而 一 旦 崩溃 的 是 SpringBoard 等 系统 进程 ， 则 会 造成 iOS 瘫 病 ， 所 以 
CydiaSubstrate 引 入 了 Safe mode， 它 会 捕获 SIGTRAP、SIGABRT、SIGILL、SIGBUS、SIGSEGV、SIGSYS 这 6 种 信号 ， 然 后 进入 安全 模式 ， 如 图 4-8 所 示 。 


= Exit Safe Mode 


> 


We apologize for the inconvenience, 
but SpringBoard has just crashed. 


MobileSubstrate /did not cause this 
problem: it has protected you from it. 


Your device is now running in Safe 
Mode. All extensions that support this 
safety system are disabled. 


Reboot (or restart SpringBoard) to 
return to the normal mode. To return to 
this dialog touch the status bar. 


Tap "Help" below for more tips. 


OK 


Restart 
Help 


图 4-8 ”安全 模式 


在 安全 模式 里 ， 所 有 基于 CydiaSubstrate 的 第 三 方 dylib 均 会 被 禁用 ， 便 于 查 错 与 修复 。 但 是 ， 并 不 是 拥有 了 Safe mode 就 能 高 枕 无 忧 ， 在 很 多 时 候 ， 设 备 还 是 会 因为 第 三 方 dylib 的 原因 而 无 法 进入 系 
统 ， 症 状 主要 有 : 开机 时 卡 在 白 苹果 上 ， 或 者 进度 圈 不 停 地 转 。 在 出 现 这 种 情况 时 ， 可 以 同时 按 住 home 和 lock 键 硬 重启 ， 然 后 按 住 音量 “+” 键 来 完全 禁用 CydiaSubstrate， 待 系统 重启 完毕 后 ， 再 来 查 错 


与 修复 。 当 问题 被 成 功 修复 后 ， 再 重启 一 次 iOS， 就 能 重新 启用 CydiaSubstrate 了 ， 非 常 方便 。 


42 Cycript 


Cycript 是 由 saurik 推 出 的 一 款 脚本 语言 (如 图 4-9 所 示 ) ， 可 以 看 作 是 Objective-JavaScript。 


seco 中 国联 通 F 23:13 Ө 8696 Emu 


< Installed Details Modify 


__ Cycript 
< > 0.9.502 


—. Change Package Settings > 


> Author Jay Freeman (saurik) > 
Cycript is an inlining, optimizing, 1 
JavaScript-to-JavaScript compiler and 
‚ immediate mode console environment. 


| When used as an execution frontend, 
Cycript bridges access to Objective-C · 
primitives using an extended syntax,  : 


providing for memory allocation, 
pointer indirection, and messaqe 


With Cydget, Cycript can be used 
Inside of HTML script elements when 
tagged with the special MIME type 


Toavtieverin¢t alle winmn far caamlacc 


c D 


O © | 


dispatch. 


ss 一 一 一 


urces Changes Installed Search 


4-9 Cycript 


4BZBB2zeJ 8622292 7 HavaScript, БТЕ ЕНУ ЭзСуспр ШЕ, BSc, 29078 ахабсгірї, [аЗ ТЯ, BRLACERTBICycriptÉS(RIK -BMABSKBAMC, BARE 
公司 的 无 聊 会 议 中 把 玩 MTerminal， 在 Cycript 中 完成 了 几 个 函数 的 测试 ， 节 省 了 不 少时 间 ， 才 重新 认识 这 门 语法 简单 而 功能 强大 的 语言 。 其 实 对 于 熟悉 Objective-C 的 朋友 们 来 阅 ， 脚 本 语言 不 难 上 手 ， 只 
要 克服 自己 的 畏难 情绪 ， 就 一 定 能 快速 掌握 它 ，Cycript 当 然 也 不 例外 。Cycript 具 备 脚 本 语言 的 便利 ， 可 以 直接 用 来 写 App， 但 saurik 自 己 都 说 : “This isn't quite ‘ready for primetime’ " ; 笔者 认 
为 ，Cycript 最 为 贴心 和 实用 的 功能 是 它 可 以 帮助 我 们 轻松 测试 函数 效果 ， 整 个 过 程 安全 无 副作用 ， 效 果 十 分 显著 ， 实 乃 业 界 良 心 ! 因此 ， 本 书 只 对 此 功能 作 简单 介绍 ， 更 多 详细 资料 可 参阅 它 的 官 


网 http://www.cycript.org。 


可 以 从 MTerminal 中 执行 Cycript， 也 可 以 ssh 到 iOS 中 执行 Cycript。 输 入 “cycript”， 出 现 “cy#” 提 示 符 ,说 明 已 成 功 启动 Cycript， 如 下 : 


FunMaker-5:~ root# cycript 
cy# 


在 启动 Cycript 之 后 ， 就 可 以 开始 编写 App 了 。 
Cycript。 一 般 来 说 ， 选 择 注入 哪个 进程 ， 要 依 测 试 


因为 这 里 主要 
的 具体 函数 而 定 ， 这 个 函数 所 属 的 类 存在 于 哪些 进程 ， 则 注入 这 些 进程 ， 从 而 保证 这 个 类 是 存在 的 。 这 句 话 的 含义 有 些 难以 理解 ， 举 例 说 明 如 下 。 


到 它 测试 函数 的 功能 ， 而 不 是 用 它 来 写 App， 所 以 需要 把 代码 注入 一 个 现成 的 进程 中 ， 让 代码 运行 起 来 。 按 下 “control+ D”， 先 退出 


假如 现在 要 测试 PhoneApplication 类 的 +sharedNumberFormatter 函 数 功能 及 其 返回 值 ， 则 必须 注入 MobilePhone 这 个 进程 ， 因 为 PhoneApplication 类 只 存在 于 MobilePhone 进 程 中 ; 同 理 ， 如 果 
要 测试 SBUIController 类 的 -lockFromSource: 函 数 功能 ， 则 必须 注入 SpringBoard 这 个 进程 ; 当然 ， 如 果 要 测试 NSString 类 的 -length 函 数 功能 及 其 返回 ， 则 可 注入 任意 链接 了 Foundation 库 的 进程 。 因 为 
需要 用 Cycript 测 试 的 一 般 都 是 私有 函数 ， 所 以 一 个 总 的 准则 是 从 哪个 进程 逆向 出 的 函数 ， 就 注入 这 个 进程 来 测试 ， 从 哪个 库 逆 向 出 的 函数 ， 就 注入 链接 这 个 库 的 进程 来 测试 。 


通过 进程 注入 方式 调用 Cycript 测 试 函数 的 步骤 很 简单 ， 以 SpringBoard 为 例 ， 首 先 找到 进程 名 或 PID， 如 下 : 


FunMaker-5:~ root# Ps -е | grep SpringBoard 
4567 2? 0:27.45 /System/library/CoreServices/SpringBoard.app/SpringBoard 
4634 ttys000 0:00.01 grep SpringBoard 


SpringBoard 进 程 的 PID 是 4634。 接 下 来 输入 “cycript-p 4634" BK "cycript-p SpringBoard”， 把 Cycript 注 入 SpringBoard， 这 时 ，Cycript 就 已 经 运行 在 SpringBoard 进 程 里 ， 可 以 开始 测试 了 。 


我 们 都 知道 ，UIAlertView 是 iOS 中 使 


最 多 的 弹 框 类 。 使 


Objective-C 语 言 ， 弹 出 一 个 对 话 框 只 需要 3 行 代码 ， 如 下 : 


UIAlertView *alertView = [[UIAlertView alloc] initWithTitle:8"iOSRE" message:@"snakeninny" delegate:nil cancelButtonTitle:@"OK" otherButtonTitles:nil]; 


[alertView show]; 
[alertView release]; 


上 面 的 Objective-C 语 言 转化 成 Cycript 非 常 简单 ， 如 下 : 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# alertView = [[UIAlertView alloc] initWithTitle:@"iOSRE" message:@"snakeninny" delegate:nil cancelButtonTitle:@"OK" otherButtonTitles:nil] 
#"<UIAlertView: 0x1700e580; frame = (0 0; 0 0); layer = <CALayer: 0x164146c0>>" 


cy# [alertView show] 
cy# [alertView release] 


不 需要 声明 对 象 类 型 ， 也 不 需要 结尾 的 分 号 ， 就 是 这 么 简单 。 如 果 函 数 有 返回 值 ，Cycrip 会 把 它 在 内 存 中 的 地 址 及 一 些 基本 信息 实时 打印 出 来 ， 非 常 直观 。 执 行 上 面 的 语句 后 ，SpringBoard 会 弹出 对 


话 框 ， 如 图 4-10 所 示 。 


IOSRE 


snakeninny 


OK 


图 4-10 ”用 Cycript 执 行 代码 


如 果 知道 一 个 对 象 在 内 存 中 的 地 址 ， 可 以 通过 “#” 操 作 符 来 获取 这 个 对 象 ， 例 如 : 


cy# [[UIAlertView alloc] initWithTitle:@"iOSRE" message:@"snakeninny" delegate:nil cancelButtonTitle:@"OK" otherButtonTitles:nil] 
#"<UIAlertView: 0x166b4fb0; frame = (0 0; 0 0); layer = <CALayer: 0x16615890>>" 

cy# [#0x166b4fb0 show] 

cy# [40x166b4fb0 release] 


如 果 知道 一 个 类 对 象 存在 于 当前 的 进程 中 ， 却 不 知道 它 的 地 址 ， 不 能 通过 “#'” 操作 符 来 获取 它 ， 此 时 ， 不 妨 试 试 choose 命 令 ， 它 的 用 法 如 下 : 


су# choose (SBScreenShotter) 
[#"<SBScreenShotter: 0x166e0e20>"] 
cy# choose (SBUIController) 
[#"<SBUIController: 0x16184bf0>"] 


只 需要 choose 一 个 类 ，Cycript 就 能 帮 你 在 内 存 中 找 出 一 个 它 的 对 象 ， 供 你 使 用 。 太 方便 了 是 不 是 ?不 过 ，choose 命 令 并 不 是 百 发 百 中 的 ， 当 它 不 能 返回 给 你 一 个 可 用 对 象 时 ， 就 必须 手动 寻找 了 。 这 
部 分 内 容 会 在 第 6 章 详细 介绍 。 


测试 私有 函数 的 方法 用 到 的 一 般 也 就 是 上 面 几 个 命令 ， 下 面 以 登录 iMessage 的 Apple 1D 为 例 ， 用 Cycript 测 试 并 实现 这 个 功能 。 先 拿 到 iMessage 的 登录 管理 器 ， 命 令 如 下 : 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# controller = [CNFRegController controllerForServiceType:1] 
#"<CNFRegController: 0x166401e0>" 


然后 登录 自己 的 iMessage， 命 令 如 下 : 


cy# [controller beginAccountSetupWithLogin:@"snakeninny@gmail.com" password:@"bbs.iosre.com" foundExisting:NO] 
#"IMAccount: 0x166e7b30 [ID: 5A8E19BE-1BC9-476F-AD3B-729997FAA3BC Service: IMService[iMessage] Login: E:snakeninny@gmail.com Active: YES LoginStatus: Connected]" 


这 一 步 相当 于 是 在 图 4-11 所 示 的 界面 上 做 了 登录 iMessage 的 操作 。 


函数 返回 了 一 个 登录 成 功 的 IMAccount， 也 就 是 iMessage 账 号 。 接 着 选择 用 于 收发 iMessage 的 地 址 ， 命 令 如 下 : 


cy# [controller setAliases:@[@"snakeninny@gmail.com"] onAccount: #0x166e7b30] 
1 


这 一 步 相当 于 是 在 图 4-12 所 示 的 界面 上 做 了 选择 iMessage 地 址 的 操作 。 


返回 值 表明 操作 成 功 。 最 后 检查 一 下 此 账号 是 否 完 成 了 登录 过 程 ， 如 下 : 


cy# [#0x166e7b30 CNFRegSignInComplete] 
1 


返回 值 表明 已 完成 了 iMessage 账 号 的 登录 。 


很 简单 吧 ? 不 用 我 再 解释 什么 了 吧 ? 作为 本 节 的 练习 ， 下 面 请 自行 把 刚才 登录 iMessage 的 Cycript 语 言 翻 译 成 Objective-C 语 言 ， 并 编写 一 个 tweak 来 验证 你 的 翻译 是 否 正 确 ， 好 好 体会 一 下 Cycript 的 用 
法 。 注 意 ，Apple ID 的 用 户 名 和 密码 要 改 成 你 自己 的 ! 
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Apple ID snakeninny@gmail.com 
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Forgot Apple ID or password? 


图 4-11 登录 iMessage 
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图 4-12 ”选择 iMessage 地 址 


43 LLDB 与 debugserver 


4.3.1 LLDBÉS fT 


如 果 说 IDA 是 倚天 剑 ， 那 么 LLDB 就 是 层 龙 刀 ， 两 者 在 iOS 逆 向 工程 中 的 地 位 不 相 上 下 ， 难 分 伯仲 。LLDB 全 称 为 “Low Level Debugger”， 是 由 苹果 出 品 ， 内 置 于 Xcode 中 的 动态 调试 工具 ， 不 但 通 吃 


“ 在 指定 的 条 件 下 启动 程序 ; 
+ 在 指定 的 条 件 下 停止 程序 ; 
“ 在 程序 停止 的 时 候 检查 程序 内 部 发 生 的 事 ; 


“ 在 程序 停止 的 时 候 对 程序 进行 改动 ， 观 察 程序 的 执行 过 程 有 什么 变化 。 


N 


LLDB 没 有 图 形 界面 ， 使 用 时 看 着 Terminal 中 黑 压 压 的 一 片 文 字 ， 初 学 者 很 容易 被 吓 跑 ， 但 是 一 旦 掌握 其 基本 用 法 ， 配 合 IDA 双 管 齐 下 ， 就 能 解决 很 多 难 倒 大 片 初学 者 的 问题 ， 投 资 回报 极 高 。LLDB 是 运 
行 在 OSX 中 的 ， 要 想 调试 |OS， 还 需要 另 一 个 工具 的 配合 ， 它 就 是 debugserver。 


4.3.2 debugserver 简 介 


debugserver 运 行 在 iOS 上 ， 顾 名 思 义 ， 它 作为 服务 端 ， 实 际 执行 LLDB (作为 客户 端 ) 传 过 来 的 命令 ， 再 把 执行 结果 反馈 给 LLDB， 显 示 给 用 户 ， 即 所 谓 的 “远程 调试 ”。 在 默认 情况 下 ，iOS 上 并 没有 
安装 debugserver， 只 有 在 设备 连接 过 一 次 Xcode， 并 在 Window 一 Devices 菜 单 中 添加 此 设备 后 ，debugserver 才 会 被 Xcode 安装 到 iOS 的 “/Developer/usr/bin/” 目 录 下 。 


但 是 ， 因 为 缺少 task_for_pid 权 限 ， 通 过 Xcode 安 装 的 debugserver 只 能 调试 我 们 自己 的 App 一 一 调试 自己 的 App 是 正 向 开发 的 事 儿 ， 而 我 们 是 想 搞 逆向 工程 ， 我 们 有 自己 App 的 源 代 码 ， 还 需要 逆 哪 门 
子 向 ? 要 能 debug 别 人 的 App 才 够 给 力 啊 ! 别 担心 ， 下 面 就 以 笔者 的 操作 为 例 ， 看 看 怎么 配置 debugserver+LLDB， 动 态 调试 别人 的 App， 发 挥 它们 在 逆向 工程 中 的 真正 威力 。 


4.3.3 配置 debugserver 
1. 帮 debugserver 减 肥 


对 照 表 4-1， 记 下 设备 的 ARM 信 息 。 


表 4-1 支持 iOS 8 的 设备 一 览 


Name ARM Name ARM 
iPhone 4s armv7 The New iPad armv7 
iPhone 5 armv7s iPad with Retina display armv7s 
iPhone 5c armv7s iPad Air arm64 
iPhone 5s arm64 iPad Air 2 arm64 
iPhone 6 Plus arm64 iPad mini with Retina display arm64 
iPhone 6 arm64 iPad mini 3 arm64 
iPad 2 armv7 iPod touch 5 armv7 
iPad mini armv7 


笔者 的 设备 是 iPhone 5， 对 应 的 ARM 是 armv7s。 将 未 经 处 理 的 debugserver 从 iOS 拷 贝 到 OSX 中 的 “/Users/snakeninny/” 目 录 下 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ scp root@iOSIP:/Developer/usr/bin/debugserver ~/debugserver 


然后 帮 它 减肥 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ lipo -thin armv7s ~/debugserver -output ~/debugserver 


注意 把 这 里 的 “armv7s” 换 成 你 的 设备 所 对 应 的 ARM 。 
2. 给 debugserver 添 加 task_for_pid 权 限 


下 载 http://iosre.com/ent.xml 到 OSX 的 “/Users/snakeninny/” 目 录 ， 然 后 运行 如 下 命令 : 


snakeninnysiMac:~ snakeninny$ /opt/theos/bin/ldid -Sent.xml debugserver 


注意 ，“-S” 选 项 与 “ent.xml” 之 间 是 没有 空格 的 。 


正常 情况 下 ， 上 面 这 条 命令 会 在 5 秒 内 执行 完毕 。 如 果 Idid 卡 住 了 ， 执 行 超时 ， 就 换 一 种 方案 : 下 载 http://iosre.com/ent.plist 到 “/Users/snakeninny/”， 然 后 运行 如 下 命令 : 


snakeninnysiMac:~ snakeninny$ codesign -s - --entitlements ent.plist -f debugserver 


3. 将 经 过 处 理 的 debugserver 拷 回 iOS 


将 经 过 处 理 的 debugserver 拷 回 iOS， 并 添加 执行 权限 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ scp ~/debugserver root@iOSIP:/usr/bin/debugserver 
snakeninnysiMac:~ snakeninny$ ssh root@iOSIP 
FunMaker-5:~ root# chmod +x /usr/bin/debugserver 


这 里 之 所 以 把 处 理 过 的 debugserver 存 放 在 iOS 的 “/usrYbin/” 下 ， 而 没有 覆盖 “/Developer/usYbin/” 下 的 原版 debugserver， 一 是 因为 原版 debugserver 是 不 可 写 的 ， 无 法 覆盖 ; 二 是 因 
为 “/usr/bin/” 下 的 命令 无 须 输入 全 路 径 就 可 以 执行 ， 即 在 任意 目录 下 运行 “debugserver” 都 可 启动 处 理 过 的 debugserver。 


4.34 ”用 debugserver 启 动 或 附加 进程 


debugserver 最 常用 的 2 种 场景 ， 就 是 启动 和 附加 进程 ， 它 们 的 命令 都 很 简单 ， 分 别 是 : 


debugserver -x backboard IP:port /path/to/executable 


debugserver 会 启动 executable， 并 开启 port 端 口 ， 等 待 来 自 IP 的 LLDB 接 入 。 


debugserver IP:port -a "ProcessName" 


debugserver 会 附加 ProcessName， 并 开启 port 端 口 ， 等 待 来 自 IP 的 LLDB 接 入 。 


例如 : 


FunMaker-5:~ root# debugserver -x backboard *:1234 /Applications/MobileSMS.app/MobileSMS 

debugserver-@ (#) PROGRAM: debugserver  PROJECT:debugserver-320.2.89 

for armv7. 

Listening to port 1234 for a connection from *http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 


上 面 的 代码 会 启动 MobilesMS， 并 开启 1234 端 口 ， 等 待 任意 |P 地 址 的 LLDB 接 入 。 而 : 


FunMaker-5:~ root# debugserver 192.168.1.6:1234 -а "MobileSMS" 
debugserver-@ (#) PROGRAM:debugserver  PROJECT:debugserver-320.2.89 
for агту7. 
Attaching to process MobileNoteshttp: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 
Listening to port 1234 for a connection from 192.168.1.6http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 


会 附加 MobileSMS， 并 开启 1234 端 口 ， 等 待 来 自 192.168.1.6 的 LLDB 接 入 。 


如 果 上 面 的 命令 在 执行 时 报错 ， 如 下 : 


FunMaker-5:~ root# debugserver *:1234 -a "MobileSMS" 

dyld: Library not loaded: /Developer/Library/PrivateFrameworks/ARMDisassembler.framework/ARMDisassembler 
Referenced from: /usr/bin/debugserver 
Reason: image not found 

Trace/BPT trap: 5 


说 明 iOS 上 的 “/Developer/” 目 录 下 缺少 必要 的 调试 数据 。 这 种 情况 一 般 是 因为 没有 在 Xcode 的 Window 一 Devices 菜 单 中 添加 此 设备 ， 重 新 添加 设备 就 可 以 解决 问题 。 


当 退 出 debugserver 时 ， 当 前 调试 的 进程 也 会 一 并 退出 。debugserver 的 配置 到 此 结束 ， 接 下 来 的 所 有 操作 都 是 在 LLDB 上 完成 的 。 


435 LLDB 的 使 用 说 明 


在 了 解 LLDB 的 用 法 之 前 ， 需 要 对 LLDB 的 一 个 大 Bug 有 所 了 解 : Xcode 6 所 附带 的 LLDB (版 本 号 320.x.xx) 在 armv7 和 armv7s 设 备 上 有 时 会 混淆 ARM 和 THUMB 指 令 ， 根 本 无 法 调试 ， 且 在 本 书 截稿 之 


时 ， 此 Bug 仍 未 得 到 修复 。 一 个 暂时 的 解决 方案 是 从 https://developer.apple.com/downloads/index.action 下 载 安 装 Xcode 5.0.1 或 Xcode 5.0.2， 它 们 所 附带 的 LLDB (版 本 号 300.x.xx) 可 以 正常 调试 
armv7 和 armv7s 设 备 。 在 安装 旧版 Xcode 的 时 候 ， 注 意 将 其 安装 在 与 当前 Xcode 不 同 的 路 径 下 ， 如 /Applications/OIdXcode.app， 这 样 就 不 会 影响 当前 的 Xcode 了。 在 启用 LLDB 时 ， 在 Terminal 中 输入 如 


下 命令 : 


snakeninnysiMac:~ snakeninny$ /Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 


即 可 启动 上 昌 版 LLDB， 然 后 用 LLDB 连 接 正在 等 待 的 debugserver， 命 令 如 下 : 


(lldb) process connect connect://iOSIP:1234 
Process 790987 stopped 
* thread #1: tid = Oxcllcb, 0x3995b4f0 libsystem kernel.dylib'mach msg trap + 20, queue = 'com.apple.main-thread, stop reason = signal SIGSTOP 
frame #0: 0x3995b4f0 libsystem kernel.dylib'mach msg trap + 20 
libsystem kernel.dylib'mach msg trap * 20: 
—> 0x3995b4f0: pop (r4, r5, r6, r8} 
0x3995b4f4: bx lr 
libsystem kernel.dylib'mach msg overwrite trap: 
0x3995b4f8: mov r12, sp 
0x3995b4fc: push (r4, r5, r6, r8) 


iEX&, "process connect connect://iOSIP:1234” 的 执行 耗 时 较 长 ， 在 WiFi 条 件 下 一 般 需 要 3 分 钟 以 上 时 间 ， 请 耐心 等 待 。 在 4.6 节 里 ， 会 有 通过 USB 连 接 调试 的 介绍 ， 届 时 速度 会 大 幅 增 加 。 当 进程 


停 下 来 时 ， 就 可 以 正式 开始 调试 了 。 接 下 来 看 看 常用 的 LLDB 命 令 有 哪些 。 


1.image list 


"image list” 与 GDB 中 的 “info shared” 类 似 ， 用 于 列举 当前 进程 中 的 所 有 模块 (image) 。 因 为 ASLR (Address Space Layout Randomization， 详 见 http://theiphonewiki.com/wiki/ASLR) 的 


关系 ， 每 次 进程 启动 时 ， 同 一 进程 的 所 有 模块 在 虚拟 内 存 中 的 起 始 地 址 都 会 产生 随机 偏 移 。 


举 个 简单 的 例子 ， 进 程 A 中 有 一 个 模块 B，B 模 块 的 大 小 是 100 字 节 。 进 程 A 第 一 次 启动 时 ， 模 块 B 可 能 会 被 加 载 到 虚拟 内 存 的 0x00 到 0x64， 第 二 次 启动 被 加 载 到 0x10 到 0x74， 第 三 次 被 加 载 到 0x60 到 


0xC4， 也 就 是 说 它 的 大 小 虽然 未 变 ， 但 起 始 地 址 每 次 都 在 变 ， 然 而 这 个 起 始 地 址 恰恰 是 接 下 来 会 频繁 用 到 的 一 个 关键 数据 。 那 么 问题 来 了 ， 如 何 获得 这 个 数据 呢 ? 


答案 就 是 使 用 “image list-o-f" 命令 。 待 LLDB 连 接 debugserver 后 ， 输 入 “image list-o-f" 命令 ， 输 出 如 下 : 


(1140) image list -o -f 
[ 0] 0x000cf000 /private/var/db/stash/ .291MeZ/Applications/SMSNinja.app/SMSNinja (0x00000000000d3000) 
[ 1] 0х0021а000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x000000000021a000) 
[ 2] 0x01645000 /usr/lib/libobjc.A.dylib (0x00000000307b5000) 
[ 3] 0x01645000 /System/Library/Frameworks/Foundation.framework/Foundation (0x0000000023c4f000) 
[ 4] 0x01645000 /System/Library/Frameworks/CoreFoundation.framework/CoreFoundation (0x0000000022f0b000) 
[ 5] 0x01645000 /System/Library/Frameworks/UIKit.framework/UIKit (0x00000000264c1000) 
[ 6] 0x01645000 /System/Library/Frameworks/CoreGraphics.framework/CoreGraphics (0x0000000023238000) 
[235] 0x01645000 /System/Library/Frameworks/CoreGraphics.framework/Resources/libCGXType.A.dylib (0x00000000233a2000) 
[236] 0х0008а000 /usr/lib/dyld(0x000000001fe8a000) 


PH 


AsSLR 而 产生 的 随机 偏 移 (以 下 简称 ASLR 偏 移 ) ;第 三 列 是 模块 的 全 路 径 ， 括 号 里 是 偏 移 之 后 的 起 始 地 址 。 各 


在 上 面 的 输出 内 容 中 ， 第 一 列 [X] 是 模块 的 序号 ; 第 二 列 是 模块 在 虚拟 内 存 中 的 起 始 地 址 


种 偏 移 ， 各 种 地 址 ， 是 不 是 把 你 绕 晕 了 ? 没关系 ， 看 一 个 简单 的 示例 你 就 全 明白 了 。 


600 放 着 靶子 600， 而 靶 位 601 到 1000 是 空 着 的 ,如 


假设 虚拟 内 存 是 一 个 靶场 ， 有 1000 个 靶 位 。 进 程 的 模块 是 靶子 ， 一 共有 600 个 靶子 。1000 个 靶 位 只 摆 了 600 个 靶子 ， 这 些 靶 子 均匀 地 排 成 一 横 排 ， 革 位 1 放 着 靶子 1， 技 位 2 放 着 靶子 2， 依 此 类 推 ， 革 位 
4-13 所 示 (上 面 是 靶 位 号 ， 下 面 是 靶子 号 ) 。 


[D 


| 2 3 4 5 600 1000 


5 600 1000 


图 4-13 靶场 (1) 


模块 在 内 存 中 的 起 始 地 址 ， 就 是 靶子 所 在 的 靶 位 ， 术 语 叫 模块 基地 址 (image base address) 。 现 在 靶场 觉得 这 样 的 靶子 排列 过 于 简单 ， 打 靶 的 人 在 适应 靶子 排列 规律 后 ， 很 容易 百 发 百 中 ， 因 此 将 每 
块 靶子 往 后 随机 移动 了 若干 靶 位 ， 移 动 之 后 靶 位 5 放 着 靶子 1， 靶 位 6 放 着 靶子 2， 靶 位 8 放 着 靶子 3， 靶 位 13 放 着 靶子 4， 靶 位 15 放 着 靶子 5…… 靶 位 886 放 着 靶子 600， 如 图 4-14 所 示 。 


1 5 6 886 
1 2 600 


图 4-14 靶场 (2) 


1000 


1000 


也 就 是 靶子 1 偏 移 了 4 个 靶 位 ， 靶 子 2 偏 移 了 4 个 靶 位 ， 靶 子 3 偏 移 了 5 个 靶 位 ， 靶 子 4 偏 移 了 9 个 靶 位 ， 靶 子 5 偏 移 了 10 个 靶 位 ， 靶 子 600 偏 移 了 286 个 靶 位 一 一 这 种 随机 偏 移 (ASLR) 大 大 增加 了 打靶 的 难 
度 。 对 于 靶子 1 来 说 ， 偏 移 前 的 基地 址 是 靶 位 1， 偏 移 后 的 基地 址 是 靶 位 5， 而 偏 移 的 值 是 4 个 靶 位 ， 即 


偏 移 后 模块 基地 址 = 偏 移 前 模块 基地 址 + ASLR 偏 移 


回 到 逆向 工程 的 场景 里 来 ， 以 刚才 “image list-o-f” 输 出 中 的 第 4 个 模块 ( 即 Foundation) 为 例 ， 它 的 ASLR 偏 移 是 0x1645000， 偏 移 后 模块 基地 址 是 0x23c4f000， 所 以 它 的 偏 移 前 模块 基地 址 是 
0x23c4f000-0x1645000=0x2260A000, 


0x2260A000 是 哪里 来 的 呢 ? 把 Foundation 二 进 制 文 件 拖 到 IDA 里 ， 初 始 分 析 完成 后 的 界面 如 图 4-15 所 示 。 


IDA View-A ӨС] HexView-1 el Structures ef 


HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 
HEADER : 2260A000 


This file has been generated by The Interactive Disassembler (IDA) 
Copyright (c) 2014 Hex-Rays, <support@hex-rays.com> 
Evaluation version 


Input MD5 : 8D58A456B36A39CBA810F25609BA4737 
Input CRC32 : 49FAA649 


Ae "9- чө чө HÀ Ne We we x 


HEADER : 2260A000 


HEADER : 2260A000 

HEADER : 2260A000 Processor : ARM 

HEADER: 2260A000 ARM architecture: metaarm 

HEADER : 2260A000 Target assembler: Generic assembler for ARM 
HEADER : 2260A000 Byte sex : Little endian 

HEADER: 2260A000 

HEADER : 2260A000 

HEADER : 2260A000 

HEADER : 2260A000 

|, text:2260B320 


图 4-15 ”在 IDA 中 分 析 Foundation 
把 IDA View-A 拉 到 最 上 面 ， 看 到 第 一 行 的 “HEADER:2260A000” 了 吗 ? 这 就 是 0x2260A000 的 来 源 。 


既然 明白 了 “基地 址 ”的 意思 是 “起 始 地 址 ”， 那 么 趁 热 打铁 ， 了 解 一 下 与 “模块 基地 址 ”相似 的 男 一 概念 : “符号 基地 址 (symbol base address) ”。 回 到 IDA， 在 Functions window 里 搜 
索 “NSLog”， 然 后 跳 转 到 它 的 实现 ， 如 图 4-16 所 示 。 


text:2261AB94 

text:2261AB94 

text:2261AB94 | CODE XREF: 
text:2261AB94 -[NSLock 1 
text:2261AB94 

text:2261AB94 

text:2261AB94 

text:2261AB94 SP, SP, #ОхС 
text:2261AB96 (R7,LR) 
text:2261AB98 R7, SP 
text:2261AB9A SP, SP, #4 
text:2261AB9C R9, R7, #8 

R9, {R1-R3} 

R1, R7, #8 

Rl, [5Р,#0х18+уаг 18] 
_NSLogv 

SP, SP, #4 

POP.W (R7,LR) 

ADD SP, SP, #0xC 

BX LR 

text:2261ABB6 ; End of function  NSLog 
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84-16 NSLog 


因为 Foundation 的 基地 址 是 已 知 的 ， 而 NSLog 函 数 在 Foundation 中 的 位 置 是 固定 的 ， 所 以 可 以 根据 下 面 的 公式 ， 得 出 NSLog 的 基地 址 : 


NSLog 的 基地 址 = NSLog 在 Foundation 中 的 相对 位 置 + Foundation 的 基地 址 


那 “NSLog 函 数 在 Foundation 中 的 相对 位 置 ”又 是 什么 呢 ? 回 到 图 4-16，NSLog 函 数 第 一 条 指令 “SUB SP,SP,#0xC” 左边 的 那个 数 0x2261AB94， 代 表 NSLog 在 Foundation 中 的 位 置 ， 减 去 
Foundation 第 一 行 “HEADER:2260A000” 中 提取 出 来 的 0x2260A000， 就 是 NSLog 函 数 在 Foundation 中 的 相对 位 置 ， 即 0x10B94。 


因此 ，NSLog 的 基地 址 =0x10B94+0x23c4f000=0x23C5FB94。 细 心 的 朋友 一 定 已 经 发 现 了 ， 公 式 


偏 移 后 模块 基地 址 = 偏 移 前 模块 基地 址 + ASLR 偏 移 


稍 作 修 改 ， 就 可 以 用 到 符号 基地 址 的 计算 中 : 


偏 移 后 符号 基地 址 = 偏 移 前 符号 基地 址 + 符号 所 在 模块 的 ASLR 偏 移 


下 面 来 验证 一 下 。 


NSLog 的 偏 移 前 符号 基地 址 是 0x2261AB94，Foundation 的 ASLR 偏 移 是 0x1645000， 两 者 相 加 正 是 0x23C5FB94。 


举一反三 ， 指 令 基 地 址 的 计算 也 可 以 套用 上 面 的 公式 : 


偏 移 后 指令 基地 址 = 偏 移 前 指令 基地 址 + 指令 所 在 模块 的 ASLR 偏 移 


自然 ， 符 号 基地 址 = 符号 对 应 函数 第 一 条 指令 的 基地 址 。 


在 接 下 来 的 内 容 中 ， 会 大 量 用 到 偏 移 后 基地 址 ， 因 此 必须 把 这 一 节 的 几 个 概念 弄 懂 ， 然 后 记 住 : 偏 移 前 基地 址 从 IDA 里 看 ，ASLR 偏 移 从 LLDB 里 看 ， 两 者 相 加 就 是 偏 移 后 基地 址 。 至 于 看 哪里 ， 怎 么 看 ， 
文中 也 已 解释 清楚 ， 现 在 要 靠 你 自己 完全 掌握 了 。 


2.breakpoint 


“breakpoint” 与 GDB 中 的 “break” 类 似 ， 用 于 设置 断 点 。 在 逆向 工程 中 一 般 用 到 的 是 : 


b function 


或 


br s -a address 


以 及 


br s -а 'ASLROffset+address' 


前 者 在 函数 的 起 始 位 置 设置 断 点 ， 如 下 面 的 命令 : 


(lldb) b NSLog 
Breakpoint 2: where = Foundation NSLog, address = 0x23c5fb94 


后 两 者 在 地 址 处 设置 断 点 ， 如 下 面 的 命令 : 


(1140) br s -a OxCCCCC 

Breakpoint 5: where = SpringBoard lldb unnamed function303$$SpringBoard, address = 0х000ссссс 
(1ldb) br s -a '0x6+0x9' m m Е 

Вгеакроіпі 6: address = 0х0000000# 


注意 ， 在 输出 的 “Breakpoint X:” 中 ， 这 个 X 是 断 点 的 序号 ， 稍 后 就 会 用 到 。 当 进程 停 在 断 点 上 时 ， 断 点 所 在 的 那 一 行 代码 并 未 得 到 执行 。 


因为 逆向 工程 中 的 调试 涉及 的 多 是 汇编 代码 ， 所 以 大 多 数 情况 下 都 是 在 某 一 条 汇编 指令 上 下 断 点 ， 在 函数 上 下 断 点 的 情况 很 少 。 要 在 汇编 指令 上 下 断 点， 就 要 知道 它 的 偏 移 后 基地 址 ， 前 面 已 经 详细 讲 
解 过 了 。 我 们 以 在 “-[SpringBoard_menuButtonDown:]” 函 数 的 第 一 条 指令 设置 断 点 为 例 ， 演 示 一 下 操作 流程 。 


(1) 用 IDA 查 看 偏 移 前 基地 址 


在 IDA 中 打开 SpringBoard 二 进 制 文件 ， 待 初始 分 析 结 束 后 切换 到 Text view， 定 位 到 “-[SpringBoard_menuButtonDown:]”， 如 图 4-17 所 示 。 


可 以 看 到 ， 第 一 条 指令 “PUSH{R4-R7,LR}” 的 偏 移 前 基地 址 是 0x17730。 


(2) 用 LLDB 查 看 ASLR 偏 移 


— 


先 ssh 到 iOS 中 配置 debugserver， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ ssh root@iOSIP 
FunMaker-5:~ root# debugserver *:1234 -a "SpringBoard" 
debugserver-6 (#) PROGRAM:debugserver  PROJECT:debugserver-320.2.89 
for armv7. 
Attaching to process SpringBoardhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Listening to port 1234 for a connection from *http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 


text:00017730 ; SpringBoard - (void) menuButtonDown:(struct 3X IOHIDEvent *) 
text:00017730 ; Attributes: bp-based frame 

text:00017730 

text:00017730 ; void  cdecl -[SpringBoard _menuButtonDown:] (struct SpringE 
text:00017730 _ SpringBoard  menuButtonDown _ ; DATA XREF: — objc c 
text:00017730 
text:00017730 var 68 
text:00017730 var 64 
text:00017730 var 60 
text:00017730 var 5C 
text:00017730 var 58 
text:00017730 var 54 
text:00017730 var 50 
text:00017730 var 4C 
text:00017730 var 48 
text:00017730 var 44 
text:00017730 var 40 
text:00017730 var 3C 
text:00017730 var 38 
text:00017730 var 34 
text:00017730 var 30 
text:00017730 var 2C 
text:00017730 var 28 
text:00017730 var 24 
text:00017730 var 20 
text:00017730 var 1C 
text:00017730 
text:00017730 (RA-R7 ,LR} 
text:00017732 R7, SP, #0xC 


БЕ 


-0x68 
-0x64 
-0x60 
-0x5C 
-0x58 
-0x54 
-0x50 
-0x4C 
-0x48 
-0x44 
-0x40 
-0x3C 
-0x38 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x20 
-0x1C 


4-17 [SpringBoard_menuButtonDown:] 


然后 在 OSX 中 用 LLDB 远 程 连接 ， 并 查看 ASLR 偏 移 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ /Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 

(lldb) process connect connect://iOSIP:1234 

Process 93770 stopped 

* thread #1: tid = 0xl6e4a, Ox30dee4f0 libsystem kernel.dylib'mach msg trap + 20, queue = 'com.apple.main-thread, stop reason = signal SIGSTOP 
frame #0: Ox30dee4f0 libsystem kernel.dylib'mach msg trap +20 ~ 

libsystem kernel.dylib'mach msg trap + 20: 

-> 0х30дее4#0: рор (r4, r5, r6, r8) 
Ox30dee4f4: bx 12 

libsystem kernel.dylib'mach msg overwrite trap: 

0х30дее4#8: mov rl2, ѕр = 

0x30dee4fc: push (r4, r5, r6, r8} 

ldb) image list -o -f 

] 0x000b5000 /System/Library/CoreServices/SpringBoard.app/SpringBoard (0x00000000000b9000) 

] 0x006ea000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x00000000006ea000) 

] 0x01645000 /System/Library/PrivateFrameworks/StoreServices.framework/StoreServices (0x000000002ca70000) 

] 0x01645000 /System/Library/PrivateFrameworks/AirTraffic.framework/AirTraffic (0x0000000027783000) 

[419] 0х00041000 /usr/lib/dyld(0x000000001fe41000) 

(114) c 

Process 93770 resuming 


SpringBoard 模 块 的 ASLR 偏 移 是 0xb5000。 
(3) 设置 并 触发 断 点 


综 上 ， 第 一 条 指令 的 偏 移 后 基地 址 是 0x17730+0xb5000=0xCC730。 在 LLDB 中 输入 “br s-a 0xCC730” 即 可 在 第 一 条 指令 处 设 下 断 点 ， 如 下 : 


(1146) br s -a 0xCC730 


Breakpoint 1: where = ЅргіпдВоага`  1lldb unnamed function299$$SpringBoard, address = 0x000cc730 


按 下 设备 上 的 home 键 ， 触 发 断 点 ， 如 下 : 


(1146) br s -a 0xCC730 


Breakpoint 1: where = SpringBoard'  1lldb unnamed function299$$SpringBoard, address = 0х000сс730 


Process 93770 stopped 


* thread #1: tid = 0x16e4a, 0x000cc730 SpringBoard" lldb unnamed function299$$SpringBoard, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x000cc730 SpringBoard' lldb unnamed function299$$SpringBoard 


SpringBoard lldb unnamed function299$$SpringBoard: 
-> Oxcc730: push (r4, r5, r6, r7, lr) 
0xcc732: add r7, sp, #12 
0xcc734: push.w (r8, r10, r11} 
0хсс738: sub sp, #80 
(114) p (char *)$г1 
(char *) $0 = 0х0042#774 " menuButtonDown:" 


nb 


当 进 程 停 下 来 之 后 ， 可 以 用 “c” 命令 让 进程 继续 运行 。LLDB 相 较 于 GDB 的 一 个 


响应 超时 而 自动 重启 ， 对 于 这 类 进程 ， 要 尽量 让 它 维持 在 运行 状态 ， 避 免 因 自动 


看 大 改进 ， 是 可 以 在 进程 运行 的 过 程 中 输入 LLDB 命 令 。 需 要 注意 的 是 ， 部 分 进程 (如 SpringBoard) 在 停止 一 段 时 间 后 
启 而 导致 调试 信息 丢失 的 悲剧 发 生 。 


还 可 以 通过 “br dis”、“br en” 和 “br del” 系 列 命令 来 禁用 、 启 用 和 删除 断 点 。 如 果 要 禁用 所 有 断 点 (“dis” 代 表 “disable”) ， 命 令 如 下 : 


(lldb) br dis 
All breakpoints disabled. (2 breakpoints) 


禁用 某 个 断 点 的 命令 如 下 : 


(1140) br dis 6 
1 breakpoints disabled. 


启用 所 有 断 点 (“en” 代 表 “enable”) 的 命令 如 下 : 


(lldb) br en 
All breakpoints enabled. (2 breakpoints) 


启用 某 个 断 点 的 命令 如 下 : 


(114) br en 6 
1 breakpoints enabled. 


删除 所 有 断 点 (“del” 代 表 “delete”) 的 命令 如 下 : 


(lldb) br del 
About to delete all breakpoints, do you want to do that?: [Y/n] Y 


删除 某 个 断 点 的 命令 如 下 : 


(lldb) br del 8 
1 breakpoints deleted; 0 breakpoint locations disabled. 


另 一 个 非常 有 用 的 命令 ， 是 指定 在 某 个 断 点 得 到 触发 的 时 候 ， 执 行 预先 设置 的 指令 ， 它 的 用 法 如 下 (假设 1 号 断 点 位 于 某 个 objc_msgSend 函 数 上 ) : 


(lldb) br com add 1 


执行 这 条 命令 后 ，LLDB 会 要 求 我 们 设置 一 系列 指令 ， 以 “DONE” 结 束 ， 如 下 : 


Enter your debugger command(s). Type 'DONE' to end. 
> po [$r0 class] 

>p (char *)$rl 

> 


с 
> DONE 


这 里 输入 了 3 条 指令 ，1 号 断 点 一 旦 触发 ， 就 会 顺序 执行 它们 ， 如 下 : 


(1180) c 

Process 97048 resuming 

. NSArrayM 

(char *) $11 = 0x26c6bbc3 "count" 
Process 97048 resuming 

Command 43 'c' continued the target. 


"br com add” 命 令 一 般 用 于 自动 观察 某 个 断 点 被 触发 时 其 上 下 文 的 变化 ， 找 到 


3.print 


进一步 分 析 的 线索 ， 在 本 书 的 后 半 部 分 ， 将 会 看 到 它 的 使 用 场景 。 


LLDB 的 主要 功能 之 一 是 “在 程序 停止 的 时 候 检 查 程 序 内 部 发 生 的 事 ” ， 而 这 个 功能 正 是 通过 “print” 命 令 完成 的 ， 它 可 以 打印 某 处 的 值 。 仍 然 以 “-[SpringBoard_ menuButtonDown:]” 里 的 指令 为 
例 ， 演 示 它 的 一 系列 用 法 ， 如 图 4-18 所 示 。 


已 知 “MOVS R6,#0” 的 偏 移 后 基地 址 为 0xE37DE， 在 这 条 指令 上 下 一 个 断 点 ， 待 断 点 被 触发 后 ， 看 看 当前 R6 的 值 ， 如 下 : 


; char menuButtonDown; 
$(:lowerl6:( OBJC IVAR $ Sp 
#0 
#(:upperl6:(_OBJC_IVAR_$ Sp 


#1 
PC ; char menuButtonDown; 
#0 
[RO] ; char menuButtonDown; 
[R11,R0] 

loc 177FA 


图 4-18  [SpringBoard. menuButtonDown:] 


(lldb) br s -a OxE37DE 
Breakpoint 2: where = SpringBoard'  1lldb unnamed function299$$SpringBoard + 174, address = 0x000e37de 
Process 99787 stopped 
* thread #1: tid = 0x185cb, 0x000e37de SpringBoard' _ 1ldb unnamed function299$$SpringBoard + 174, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x000e37de SpringBoard' 1146 unnamed function299$$SpringBoard + 174 
SpringBoard' — lldb unnamed function299$$SpringBoard + 174: 
-> Oxe37de: movs r6, #0 
0xe37e0: movt r0, $75 
0xe37e4: movs rl, #1 
0xe37e6: add r0, pc 
(114) p $r6 
(unsigned int) $1 = 364526080 


此 条 指令 执行 之 后 ，R6 应 该 被 置 0。 输 入 “ni” 执 行 此 条 指令 ， 再 次 查看 R6 的 值 ， 如 下 : 


(lldb) ni 

Process 99787 stopped 

* thread #1: tid = 0x185cb, 0x000e37e0 SpringBoard' _ 1ldb unnamed function299 $$SpringBoard + 176, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x000e37e0 SpringBoard ”11db unnamed function299$$SpringBoard + 176 

SpringBoard' — lldb unnamed function299$$SpringBoard + 176: 

-» 0xe37e0: movt r0, #75 

0xe37e4: movs rl, #1 

0xe37e6: add r0, pc 

0xe37e8: cmp r5, #0 


(114) p $r6 

(unsigned int) $2 = 0 
(11db) c 

Process 99787 resuming 


可 以 看 到 ，“p” 命 令 将 R6 的 值 正确 打印 了 出 来 。 


在 Objective-C 中 ，[someObject someMethod] 的 底层 实现 ， 实 际 是 objc_msgSend(someObjectisomeMethod)， 其 中 ， 前 者 是 一 个 Objective-C 对 象 ， 后 者 则 可 以 强制 转换 成 一 个 字符 串 (第 6 章 将 


详细 讲解 这 些 内 容 ) 。 在 图 4-19 中 ，“BLX_objc_msgSend” 执 行 了 [SBTelephonyManager sharedTelephonyManaer]。 


#(classRef_SBTelephonyManager - 0x178A0) 
PC ; selRef_sharedTelephonyManager 
PC ; classRef_SBTelephonyManager 


[RO] ; "sharedTelephonyManager" 
[R2]  OBJC CLASS $ SBTelephonyManager 
_objc_msgSend 


4-19 还原 objc_msgSend 


已 知 “BLX_objc_msgSend” 的 偏 移 后 地 址 是 0xXCC8A2， 在 上 面 下 一 个 断 点 ， 待 触发 后 打印 出 “objc_msgSend” 的 参数 ， 如 下 : 


(lldb) br s -a OxCC8A2 
Breakpoint 1: where = ЅргіпдВоага`  1lldb unnamed function299$$SpringBoard + 370, address = 0x000cc8a2 
Process 103706 stopped 
* thread #1: tid = 0х1951а, 0x000cc8a2 SpringBoard' _ 1ldb unnamed function299$$SpringBoard + 370, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x000cc8a2 SpringBoard' 1140 unnamed function299$$SpringBoard + 370 
SpringBoard*__11db_unnamed_function299$$SpringBoard + 370: 
-» Oxcc8a2: blx 0x3e3798 ; Symbol stub for: objc msgSend 
Oxcc8a6: mov r6, x0 
Oxcc8a8: movw r0, #31088 
Oxcc8ac: movt r0, #74 
(114) po [Sr0 class] 
SBTelephonyManager 
(1140) po $r0 
SBTelephonyManager 
(114) p (char *)$r1 
(char *) $2 = 0x0042eee6 "sharedTelephonyManager" 
(114) c 
Process 103706 resuming 


可 以 看 到 ， 用 “po” 命 令 打印 了 Objective-C 对 象 ， 用 “p(char*)” 通 过 强制 转换 的 方式 打印 了 C 语 言 基 本 数据 类 型 对 象 ， 简 单 明了 。 需 要 注意 的 是 ， 当 进程 停 在 某 一 条 “BL” 指 令 上 时 ，LLDB 会 自动 


解析 这 条 指令 ， 把 指令 中 地 址 对 应 的 符号 注释 出 来 ， 如 上 例 中 的 


-> Oxcc8a2: blx 0x3e3798 ; symbol stub for: objc_msgSend 


但 是 ，LLDB 的 解析 有 时 会 出 错 ， 注 释 出 的 符号 不 对 。 这 种 情况 下 ， 请 以 IDA 静 态 解析 出 的 符号 为 准 。 


Ba, ALAR "х" 命令 打 印 一 个 地 址 处 存放 的 值 ， 如 下 : 


(114) p/x $sp 

(unsigned int) $4 = 0x006e838c 

(lldb) х/10 $sp 

0x006e838c: 0x00000000 0x22f2c975 0x00000000 0x00000000 
0x006e839c: 0x26c6bf8c 0x0000000c 0x17a753c0 0x17a753c8 
0x006e83ac: 0x000001c8 0x17a75200 

(lldb) x/10 0x006e838c 

0x006e838c: 0x00000000 0х22#2с975 0x00000000 0x00000000 
0x006e839c: 0x26c6bf8c 0x0000000c 0x17a753c0 0x17a753c8 
0x006e83ac: 0x000001c8 0x17a75200 


上 面 用 “p/x” 以 十 六 进 制 方式 打印 了 SP， 它 是 一 个 指针 ， 值 为 0x6e838c。 而 “x/10” 则 打印 出 了 这 个 指针 指向 的 连续 10 个 字 (word) 的 数据 。 


4.nexti 与 stepi 


“nexti” 与 “stepi” 的 作用 都 是 执行 下 一 条 机 器 指令 ， 它 们 最 大 的 区 别 是 前 者 不 进入 函数 体 ， 而 后 者 会 进入 函数 体 。 它 们 可 分 别 简写 为 “ni” 与 “si” ， 是 调试 时 使 用 最 多 的 指令 之 一 。 你 可 能 会 
“进入 或 者 不 进入 函数 体 ”， 是 什么 意思 ?这 里 举 个 “-[springBoard_ menuButtonDown:]” 里 的 例子 来 说 明 ， 如 图 4-20 所 示 。 


“BL_SpringBoard_accessibilityObjectWithinProximity_0” 的 偏 移 后 基地 址 是 0xEE92E， 它 调用 了 _SpringBoard_accessibilityObjectWithinProximity_0 函 数 。 在 它 上 面 下 断 点 ， 然 后 使 
" 命令， 如 下 : 


loc_1792E ; -[SpringBoard  accessibilityObjectWithinProximity] 0 
BL . BpringBoard  accessibilityObjectWithinProximity 0 

TST.W RO, #0xFF 

BEQ loc 17942 


图 4-20  [SpringBoard menuButtonDown:] 


(lldb) br s -a 0хЕЕ92Е 

Breakpoint 2: where = SpringBoard'  1lldb unnamed function299$$SpringBoard + 510, address = 0х000ее92е 

Process 731 stopped 

* thread #1: tid = 0x02db, 0х000ее92е SpringBoard' lldb unnamed function299$$SpringBoard + 510, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0х000ее92е SpringBoard' 1140 unnamed function299$$SpringBoard + 510 

SpringBoard 1140 unnamed function299$$SpringBoard + 510: 


-> Oxee92e: bl ^ Ox2fd654 ; lldb unnamed functionl6405$$SpringBoard 

0xee932: tst.w r0, 4255 m Е m 

0xee936: beq 0xee942 ; _ lldb unnamed function299$$SpringBoard + 530 

0xee938: blx 0x403£08 ; symbol stub for: BKSHIDServicesResetProximityCalibration 
(1140) ni 


Process 731 stopped 

* thread #1: tid = 0x02db, 0x000ee932 SpringBoard'  1lldb unnamed function299$5SpringBoard + 514, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0х000ее932 SpringBoard' lldb unnamed function299$$SpringBoard + 514 

SpringBoard' — 1100 unnamed function299$$SpringBoard + 514: 

-» 0xee932: tst.w r0, 4255 


0xee93 beq 0xee942 ; __lldb unnamed function299$$SpringBoard + 530 
0xee93 blx 0x403£08 ; symbol stub for: BKSHIDServicesResetProximityCalibration 
Охее93с: movs r0, #0 


(1ldb) c 
Process 731 resuming 


可 见 ，“ni” 没 有 进入 _SpringBoard_accessibilityObjectWithinProximity_0 函 数 体 。 再 来 看 看 “si”， 如 下 : 


Process 731 stopped 

* thread #1: tid = 0x02db, 0x000ee92e SpringBoard` lldb unnamed function299$$SpringBoard + 510, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x000ee92e SpringBoard` lldb unnamed function299$$SpringBoard + 510 

SpringBoard lldb unnamed function299$$SpringBoard + 510: 


-> Oxee92e: bl ^ Ox2fd654 ; | lldb unnamed functionl6405$$SpringBoard 

0xee932: tst.w r0, $255 

0xee936: beq 0хее942 ; lldb unnamed function299$$SpringBoard + 530 

0xee938: blx 0x403£08 ; symbol stub for: BKSHIDServicesResetProximityCalibration 
(lldb) si 


Process 731 stopped 
* thread #1: tid = 0x02db, 0x002fd654 SpringBoard* lldb unnamed functioni6405$$SpringBoard, queue = 'com.apple.main-thread, stop reason = instruction step into 
frame #0: 0x002fd654 SpringBoard lldb unnamed functionl6405$$SpringBoard 
SpringBoard' — lldb unnamed function16405$$SpringBoard: 
-> Ox2fd654: movw r0, #33920 
Ox2fd658: movt r0, #43 
Ox2fd65c: add r0, pc 
Ox2fd65e: ldrsb.w r0, [r0] 
(118) c 
Process 731 resuming 


“movw r0,#33920” 的 偏 移 前 基地 址 是 0x226654， 在 IDA 中 如 图 4-21 所 示 。 


text: 00226654 ; -[SpringBoard _accessibilityObjectWithinProximity] 0 

text:00226654 _ SpringBoard  accessibilityObjectWithinProximity 0 

text:00226654 А CODE XREF: -[SpringBoard  menuButtonDown:]:loc 1792bE1p 
text:00226654 -[SpringBoard  menuButtonDown:]*2ACip ... 


text:00226654 MOV RO, # (byte 4DEAEO - 0x226660) 
text:0022665C ADD RO, PC ; byte 4DEAEO 

text:0022665E LDRSB.W RO, [RO] 

text:00226662 Bx LR 

text:00226662 ; End of function -[SpringBoard  accessibilityObjectWithinProximity] O 


4-21 


SpringBoard 


其 位 于 SpringBoard accessibilityObjectWithinProximity OBRZXPJBB, BD "si" А T RBU, 


5.register write 


"register write" 


R0 的 值 是 0， 进 程 会 


命令 用 于 给 指定 的 寄存 器 赋值 ， 从 而 “对 程序 进行 改动 ， 观 察 程序 的 执行 过 
走 左边 的 分 支 ， 否 则 会 走 右边 的 分 支 。 


程 有 什么 变化 ”。 在 图 


TST.W 
BNE 


RO, #OxFF 
loc_177B2 


"i 


PC 


accessibilityObjectWithinProximity 0 


这 就 是 “进入 或 者 不 进入 函数 体 ” 的 意思 。 


4-22 所 示 的 代码 中 ， 已 知 “TST.W R0,#0xFF” 的 偏 移 后 基地 址 是 0xEE7A2， 如 果 


sub 36340 
RO, #0xFF 
loc_177DA 


SBFLoggingPriv_ptr - 0x177BE) 
SBFLoggingPriv_ptr 


, 

[RO] ; SBFLoggingPriv 

[RO] 

#1 

| 179F2 
422 分支 
这 里 下 个 断 点 看 看 这 里 RO 的 值 是 多 少 ， 如 下 : 
(lldb) br s -a OxEE7A2 


Breakpoint 3: where 
Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a2 SpringBoard' 1ldb_unnamed_function299$$SpringBoard + 114, queue 


frame #0: 0x000ee7a2 SpringBoard' 1140 unnamed function299$$SpringBoard + 114 


SpringBoard*___11db_unnamed_function299$$SpringBoard + 114, address = 0x000ee7a2 


'com.apple.main-thread, stop reason = breakpoint 3.1 


SpringBoard'  lldb unnamed_function299$$SpringBoard + 114: 

-> Oxee7a2: tst.w r0, #255 
Охее7аб: bne Oxee7b2 ; | lldb unnamed function299$$SpringBoard + 130 
Охее7а8: bl 0x10d340 ; | lldb unnamed functionll10$$SpringBoard 
Oxee7ac: tst.w r0, #255 

(118) p Sr0 

(unsigned int) $0 = 0 

由 于 R0 的 值 是 0， 因 此 在 BNE 的 作用 下 ， 它 会 走 左边 的 分 支 ， 如 下 : 

(114) ni 


Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a6 SpringBoard'  1lldb unnamed function299$$SpringBoard + 118, queue 
frame #0: 0х000ее7аб SpringBoard* 1140 unnamed function299$$SpringBoard + 118 


SpringBoard'  lldb unnamed_function299$$SpringBoard + 118: 

-> Oxee7a6: bne Oxee7b2 ; lldb unnamed function299$$SpringBoard + 130 
Охее7а8: bl 0x10d340 ; — lldb unnamed functionl110$$SpringBoard 
Охее7ас: tst.w r0, #255 
Oxee7b0: beq Oxee7da ; | lldb unnamed function299$$SpringBoard + 170 

(118) ni 


Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a8 SpringBoard` lldb unnamed function299$$SpringBoard + 120, queue 
frame #0: 0x000ee7a8 SpringBoard' 1140 unnamed _function299$$SpringBoard + 120 


'com.apple.main-thread, stop reason = instruction step over 


'com.apple.main-thread, stop reason instruction step over 


SpringBoard 1ldb_unnamed_function299$$SpringBoard + 120: 

-> Охее7а8: bl ~0x10d340 ; | lldb unnamed functionlll0$$SpringBoard 
Охее7ас: tst.w r0, #255 
Oxee7b0: beq Oxee7da ; | lldb unnamed function299$$SpringBoard + 170 
Oxee7b2: movw r0, #2174 

再 次 触发 断 点 ， 通 过 “register write ”命令 更 改 R0 的 值 为 1， 看 看 它 会 走 哪个 分 支 ， 如 下 : 


Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7a2 SpringBoard' lldb unnamed function299$$SpringBoard + 114, queue 
frame #0: 0x000ee7a2 SpringBoard* lldb unnamed function299$$SpringBoard + 114 


SpringBoard lldb unnamed function299$$SpringBoard + 114: 

-> Oxee7a2: tst.w r0, #255 
Охее7аб: bne Oxee7b2 ; | lldb unnamed function299$$SpringBoard + 130 
Охее7а8: bl 0x10d340 ; | lldb unnamed functionll10$$SpringBoard 
Oxee7ac: tst.w r0, #255 

lldb) p $r0 


unsigned int) $5 = 

lldb) register write r0 1 
lldb) p Sr0 
unsigned int) $6 
(lldb) ni 
Process 731 stopped 

* thread #1: tid = 0x02db, 0x000ee7a6 SpringBoard' lldb unnamed function299$$SpringBoard + 118, queue 
frame #0: 0x000ee7a6 SpringBoard' lldb unnamed function299$$SpringBoard + 118 


( 
( 
( 
( 
( 


1 


SpringBoard lldb unnamed function299$$SpringBoard + 118: 

-> Охее7аб: bne Oxee7b2 $ lldb unnamed function299$$SpringBoard + 130 
Oxee7a8: bl 0x10d340 ; |. lldb unnamed functionlll0$$SpringBoard 
Oxee7ac: tst.w r0, #255 
Oxee7b0: beq Oxee7da ; | lldb unnamed function299$$SpringBoard + 170 

(11db) 


Process 731 stopped 
* thread #1: tid = 0x02db, 0x000ee7b2 SpringBoard' lldb unnamed function299$$SpringBoard + 130, queue 
frame 40: 0x000ee7b2 SpringBoard lldb unnamed function299$$SpringBoard + 130 


SpringBoard' — lldb unnamed function299$$SpringBoard + 130: 
-> O0xee7b2: “movw r0, #2174 

Oxee7b6: movt r0, #63 

Oxee7ba: add r0, pc 

Oxee7bc: ldr r0, [r0] 


'com.apple.main-thread, stop reason - breakpoint 3.1 


'com.apple.main-thread, stop reason instruction step over 


'com.apple.main-thread, stop reason - instruction step over 


此 时 ， 进 程 改 道 右边 的 分 支 了 。 


LLDB 的 命令 还 有 很 多 种 ， 这 里 只 列举 了 iOSs 逆 向 工程 初期 最 常用 的 五 种 ， 希 望 读 者 能 够 宕 一 斑 而 见 全 鹏 ， 感 受到 LLDB 的 强大 威力 。LLDB 仍 处 在 开发 阶段 ， 除 了 几 个 官方 网 站 ， 还 未 见 成 熟 的 教程 ; 
LLDB 脱 胎 于 GDB， 虽 然 两 者 的 命令 有 差别 ， 但 用 法 和 思路 是 一 脉 相 承 的 。 要 想 完 整地 熟悉 LLDB 的 使 用 ， 推 荐 阅读 “Peter s СОВ tutorial" #] "RMS' s gdb Debugger Tutorial” (Google 一 下 ) 。 
1DA 宜 静 ，LLDB 宣 动 ， 熟 练 地 使 用 这 两 个 工具 是 成 为 逆向 高 手 的 必 经 之 路 。 


4.3.6 LLDB 使 用 小 提示 


1 调试 的 二 进 制 文件 必须 从 iOS 中 提取 


1DA 分 析 的 二 进 制 文件 必须 与 LLDB 调 试 的 二 进 制 文件 相同 ， 这 样 偏 移 前 基地 址 、ASLR 偏 移 、 偏 移 后 基地 址 才能 对 应 得 上 。1DA 分 析 的 二 进 制 文件 可 以 通过 第 3 章 介绍 的 dyld_decache 工 具 从 本 机 获取 ; 
从 其 他 渠道 (如 SDK、 模 拟 器 等 ) 提取 的 文件 一 般 不 能 用 作 动 态 调试 。 


2.LLDB 中 的 简化 输入 


在 使 用 LLDB 时 ， 如 果 想 重复 执行 上 一 条 指令 ， 直 接 按 回 车 键 就 可 以 了 ; 如 果 想 查看 以 前 执行 过 的 指令 ， 按 方向 键 的 向 上 和 向 下 键 就 可 以 了 。 


回 


LLDB 的 命令 都 很 简单 ， 但 怎么 用 简单 的 命令 去 解决 复杂 的 问题 ， 却 不 简单 。 在 第 6 章 还 会 列举 一 些 LLDB 的 常用 场景 ， 但 在 那 之 前 ， 请 大 家 务必 掌握 本 节 的 知识 。 


44 dumpdecrypted 


前 面 在 介绍 class-dump 时 提 到 过 ， 从 AppSstore 下 载 的 App (以 下 简称 StoreApp) 是 被 苹果 加 密 过 的 (从 其 他 渠道 下 载 的 一 般 没有 加 密 ) ， 可 执行 文件 被 套 上 了 一 层 保护 壳 ， 而 class-dump 无 法 作 
于 加 密 过 的 App。 在 这 种 情况 下 ， 想 要 获取 头 文件 ， 需 要 先 解密 App 的 可 执行 文件 ， 俗 称 “ 磺 壳 ”。dumpdecrypted 就 是 由 越狱 社区 的 知名 人 士 Stefan Esser (@i0n1c) 出 品 的 一 款 砸 壳 工具 ， 被 越狱 社 
区 广泛 运用 在 iOS 逆 向 工程 研究 中 。 


dumpdecrypted 在 GitHub 上 开源 了 ， 得 自行 编译 才能 使 用 。 下 面 就 从 零 开始 ， 以 一 个 虚构 的 TargetApp.app 为 例 ， 引 导 大 家 进行 一 次 完整 的 App 磺 壳 ， 请 大 家 对 着 电脑 ， 跟 着 笔者 一 起 操作 。 


1) 从 GitHub 下 载 dumpdecrypted 源 码 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ cd /Users/snakeninny/Code/ 

snakeninnysiMac:Code snakeninny$ git clone git://github.com/stefanesser/dumpdecrypted/ 

Cloning into 'dumpdecrypted'http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
remote: Counting objects: 31, done. 

remote: Total 31 (delta 0), reused 0 (delta 0) 

Receiving objects: 100% (31/31), 6.50 KiB | 0 bytes/s, done. 

Resolving deltas: 100% (15/15), done. 

Checking connectivityhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15121/0EBPS/Text/... done 


2) 编译 dumpdecrypted.dylib， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ cd /Users/snakeninny/Code/dumpdecrypted/ 

snakeninnysiMac: dumpdecrypted snakeninny$ make 

`хсгип --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot ‘xcrun --sdk iphoneos --show-sdk-path' -F'xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -Fxcrun - 
"xcrun --sdk iphoneos --find gcc? -Os -Wimplicit -isysroot "xcrun --sdk iphoneos --show-sdk-path' -F'xcrun --sdk iphoneos --show-sdk-path'/System/Library/Frameworks -F'xcrun - 


上 面 的 make 命 令 执行 完毕 后 ， 会 在 当前 目录 下 生成 一 个 dumpdecrypted.dylib 文 件 ， 这 就 是 等 下 砸 壳 所 要 用 到 的 郴 头 。 此 文件 生成 一 次 即 可 ， 以 后 可 以 重复 使 用 ， 下 次 砸 壳 时 无 须 再 重新 编译 。 


3) 用 ps 命令 定位 待 砸 壳 的 可 执行 文件 。 在 iOS 8 中 ，StoreApp 全 部 位 于 /var/mobile/Containers/ 下 ， 其 中 可 执行 文件 位 于 /var/mobile/Containers/Bundle/Application/XXXXXXXX-XXXX-XXXX- 
XXXX-XXXXXXXXXXXX/TargetApp.app/ 下 。 我 们 不 知道 X 是 什么 ， 肉 眼 定位 需要 手工 遍历 所 有 目录 ， 劳 民 伤 财 ， 但 一 个 简单 的 小 技巧 就 可 以 省 时 省 力 : 首先 在 iOS 中 关 掉 所 有 StoreApp， 然 后 打开 
Target， 接 着 ssh 到 jiOS 上 ， 打 印 出 所 有 进程 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ ssh root@iOSIP 
FunMaker-5:~ root# ps -e 


PID TTY TIME CMD 
1 9? 3:28.32 /sbin/launchd 
5717 ?? 0:00.21 /System/Library/PrivateFrameworks/MediaServices . framework/Support/mediaartworkd 
5905 ?? 0:00.20 sshd: root@ttys000 
5909 ?? 0:01.86 /var/mobile/Containers/Bundle/Application/03B61840-2349-4559-B28E-0E2C6541F879/TargetApp.app/TargetApp 
5911 ?? 0:00.07 /System/Library/Frameworks/UIKit.framework/Support/pasteboardd 


5907 ttys000 0:00.03 -sh 
5913 ttys000 0:00.01 ps -e 


因为 ijOS 上 只 打开 了 一 个 StoreApp， 所 以 唯一 的 那个 含有 “/varvVmobile/ContainersBundle/Application/” 字 样 的 结果 就 是 TargetApp 可 执行 文件 的 全 路 径 。 


4) 用 Cycript 找 出 TargetApp 的 Documents 目 录 路 径 。StoreApp 的 Documents 目 录 位 于 /var/mobile/Containers/Data/Application/YYYYYYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY/ 下 ，Y 与 之 前 
的 X 值 不 同 ， 而 且 这 次 Ps 也 帮 不 上 忙 了 。 因 此 ， 需 要 借助 强大 的 Cycript， 让 App 告 诉 我 们 Documents 的 路 径 。 命 令 如 下 : 


可 


FunMaker-5:~ root# cycript -р TargetApp 
cy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask] [0] 
#"file:///var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611EE/Documents/" 


5) 将 dumpdecrypted.dylib 拷 贝 到 Documents 目 录 下 。 拷 贝 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ scp /Users/snakeninny/Code/dumpdecrypted/dumpdecrypted.dylib root@iOSIP: /var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611 
dumpdecrypted.dylib 100% 193KB 192.9KB/s 00:00 


这 里 采用 的 是 scp 方 式 ， 也 可 以 使 用 FunBox 等 工具 来 操作 。 


6) 开始 磺 壳 。dumpdecrypted.dylib 的 用 法 是 : 


DYLD INSERT LIBRARIES-/path/to/dumpdecrypted.dylib /path/to/executable 


实际 操作 起 来 就 是 : 


FunMaker-5:~ root# cd /var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611EE/Documents/ 

FunMaker-5: /var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611EE/Documents root# DYLD INSERT LIBRARIES-dumpdecrypted.dylib /var/mobile/Containers/Bundle/ 
mach-o decryption dumper 

DISCLAIMER: This tool is only meant for security research purposes, not for application crackers. 

+] detected 32bit ARM binary in memory. 

offset to cryptid found: @0x81a78 (from 0x81000) = a78 

Found encrypted data at address 00004000 of length 6569984 bytes - type 1. 

Opening /private/var/mobile/Containers/Bundle/Application/03B61840-2349-4559-B28E-0E2C6541F879/TargetApp.app/TargetApp for reading. 
Reading header 

Detecting header type 

Executable is a plain MACH-O image 

Opening TargetApp.decrypted for writing. 

Copying the not encrypted start of the file 

Dumping the decrypted data into the file 

Copying the not encrypted remainder of the file 

Setting the LC ENCRYPTION INFO-»cryptid to 0 at offset a78 

Closing original file m 

Closing dump file 


十 十 十 十 十 十 十 十 十 十 十 十 十 


当前 目录 下 会 生成 TargetApp.decrypted， 即 砸 壳 后 的 文件 ， 如 下 : 


FunMaker-5: /var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611EE/Documents root# ls 
TargetApp.decrypted dumpdecrypted.dylib OtherFiles 


赶紧 把 磺 壳 后 的 文件 拷贝 到 OSX 上 备用 吧 ，class-dump、1DA 等 工具 已 经 迫不及待 啦 。 


以 上 6 步 还 算 简洁 明了 ， 但 可 能 会 有 朋友 问 ， 为 什么 要 把 dumpdecrypted.dylib 拷 贝 到 Documents 目 录 下 操作 ? 


问 得 好 。 我 们 都 知道 ，StoreApp 对 沙 盒 以 外 的 绝 大 多 数目 录 没 有 写 权 限 。dumpdecrypted.dylib 要 写 一 个 decrypted 文 件 ， 但 它 是 运行 在 storeApp 中 的 ， 与 storeApp 的 权限 相同 ， 那 么 它 的 写 操作 就 
必须 发 生 在 StoreApp 拥 有 写 权 限 的 路 径 下 才能 成 功 。StoreApp 一 定 是 能 写 入 其 Documents 目 录 的 ， 因 此 在 Documents 目 录 下 使 用 dumpdecrypted.dylib 时 ， 保 证 它 能 在 当前 目录 下 写 一 个 decrypted 文 
件 ， 这 就 是 把 dumpdecrypted.dylib 拷 贝 到 Documents 目 录 下 操作 的 原因 。 


最 后 来 看 看 如 果 不 放 在 Documents 目 录 下 ， 可 能 会 出 现 什么 问题 ， 如 下 : 


FunMaker-5: /var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611EE/Documents root# mv dumpdecrypted.dylib /var/tmp/ 
FunMaker-5: /var/mobile/Containers/Data/Application/D41C4343-63AA-4BFF-904B-2146128611EE/Documents root# cd /var/tmp 
FunMaker-5:/var/tmp root# DYLD INSERT LIBRARIES-dumpdecrypted.dylib /private/var/mobile/Containers/Bundle/Application/03B61840-2349-4559-B28E-0E2C6541F879/TargetApp.app/Target^ 
dyld: could not load inserted library 'dumpdecrypted.dylib' because no suitable image found. Did find: 
dumpdecrypted.dylib: stat() failed with еггпо=1 
Trace/BPT trap: 5 


这 里 errno 的 值 是 1， 即 “Operation not permitted” ， 砸 壳 失 败 。 如 果 你 在 使 用 dumpdecrypted 的 过 程 中 碰 到 任何 问题 ， 或 对 它 有 进一步 的 研究 ， 都 欢迎 来 http://bbs.iosre.com 人 参与 讨论 。 


4.5 OpenSSH 


OpenSSH 会 在 iOS 上 安装 SSH 服 务 (如 图 4-23 所 示 ) ， 以 给 外 界 提供 一 个 通过 ssh 接 入 iOS 的 途径 。 


eseco 中 国联 通 > 22:45 @ 73% ШШ 0 + 


< Installed Details Modify 


| Ореп55Н 
6.1р1-11 2024 КВ 


—. Change Package Settings > 


> Author Jay Freeman (saurik) > 


BE This is а console package! > 


Description 


secure remote access between 
machines 


OpenSSH Access How-To 


Security Warning 


If you install OpenSSH, you need to 
change your device's root password to 
prevent the possibility of unsavory 


Installed 


图 4-23 OpenSSH 


这 里 用 得 最 多 的 一 般 只 有 2 个 命令 : ssh 和 scp， 前 者 用 于 远程 登录 ， 后 者 用 于 远程 拷贝 文件 。ssh 的 用 法 如 下 : 


ssh user@iOSIP 


如 


snakeninnysiMac:~ snakeninny$ ssh mobile@192.168.1.6 


scp 的 用 法 如 下 。 


1) 把 文件 从 本 地 拷贝 到 iOS 上 ,命令 如 下 : 


scp /path/to/localFile user@iOSIP:/path/to/remoteFile 


如 


snakeninnysiMac:~ snakeninny$ scp ~/1.png root@192.168.1.6:/var/tmp/ 


2) 把 文件 从 iOS 拷 贝 到 本 地 ， 命 令 如 下 : 


scp user@iOSIP:/path/to/remoteFile /path/to/localFile 


如 


snakeninnysiMac:~ snakeninny$ scp root@192.168.1.6:/var/log/syslog ~/iOSlog 


两 种 命令 的 用 法 都 比较 简单 直观 。 在 安装 OpenSSH 后 需要 注意 修改 默认 登录 密码 "alpine"。iOS 上 的 用 户 有 2 个 ， 分 别 是 root 和 mobile， 修 改 密码 的 命令 如 下 : 


FunMaker-5:~ root# passwd root 
Changing password for root. 

New password: 

Retype new password: 
FunMaker-5:~ root# passwd mobile 
Changing password for mobile. 
New password: 

Retype new password: 


如 果 没 有 修改 默认 密码 ，Ikee 等 病毒 就 有 可 能 通过 ssh 以 root 用 户 身份 登录 iOS， 拿 到 最 高 权限 。 这 个 后 果 是 非常 严重 的 : i0S 中 的 所 有 数据 ， 包 括 短信 、 电 话 本 、ApplelD 的 账号 密码 等 敏感 信息 泄露 的 
风险 将 大 大 增加 ， 你 的 设备 可 能 会 被 入 侵 者 玩弄 于 股 掌 之 间 ， 为 所 欲 为 。 因 此 ， 在 安装 OpenSsH 之 后 一 定 要 记得 修改 默认 密码 ! 


4.6 usbmuxd 


很 多 朋友 是 通过 WiF 连接 使 用 SSH 服 务 的 ， 因 为 无 线 网 络 的 不 稳定 性 及 传输 速度 的 限制 ， 在 复制 文件 或 用 LLDB 远 程 调试 时 ，iOSs 的 响应 很 慢 ， 效 率 不 高 。iOS 越 狱 社区 的 知名 人 士 Nikias 
Bassen (@pimskeks) 开发 了 一 款 可 以 把 本 地 OSX/Windows 端 口 转发 到 远程 iOS 端 口 的 工具 usbmuxd， 使 我 们 能 够 通过 USB 连 接线 ssh 到 iOS 中 ， 大 大 增加 了 ssh 连 接 的 速度 ， 也 方便 了 那些 没有 WiFi 的 朋 
友 。 它 的 用 法 如 下 ， 比 较 简单 。 


(1) 下 载 并 配置 usbmuxd 


从 http://cgit.sukimashita.com/usbmuxd.git/snapshot/usbmuxd-1.0.8.tar.gz 下 载 usbmuxd， 解 压 到 本 地 。 我 们 用 到 的 只 有 python-client 目 录 下 的 tcprelay.py 和 usbmux.py 两 个 文件 ， 把 它们 放 到 
同一 个 目录 下 ， 比 如 ， 笔 者 的 是 : 


/Users/snakeninny/Code/USBSSH/ 


(2) 使 用 usbmuxd 转 发 端 


usbmuxd 的 用 法 比较 简单 ， 在 Terminal 中 输入 如 下 命令 : 


/Users/snakeninny/Code/USBSSH/tcprelay.py -t 远程 -0S 上 的 端口 :本 地 OSX/Windows 上 的 端口 


即 可 把 本 地 OSX/Windows 上 的 端口 转发 到 远程 iIOS 上 的 端口 。 


下 面 是 使 用 场景 举例 。 


在 没有 WiFi 的 情况 下 ， 使 用 USB 连 接 到 iOS， 用 lldb 调 试 SpringBoard。 


Т) 把 本 地 2222 端 口 转发 到 jiOs 的 22 端 口 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ /Users/snakeninny/Code/USBSSH/tcprelay.py -t 22:2222 
Forwarding local port 2222 to remote port 22 


2) ssh 到 iOs 中 ， 并 用 debugserver 附 加 SpringBoard， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ ssh root@localhost -р 2222 
FunMaker-5:~ root# debugserver *:1234 -a "SpringBoard" 


3) 把 本 地 1234 端 口 转发 到 iOS 的 1234 端 口 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ /Users/snakeninny/Code/USBSSH/tcprelay.py -t 1234:1234 
Forwarding local port 1234 to remote port 1234 


4) 用 lldb 开 始 调试 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ /Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 
(lldb) process connect connect://localhost:1234 


使 用 usbmuxd 能 极 大 提升 ssh 的 速度 ， 用 LLDB 远 程 连接 debugserver 的 时 间 被 缩短 至 15 秒 以 内 ， 强 烈 建议 大 家 把 usbmuxd 作 为 ssh 连 接 的 首选 方案 。 


47 iFile 


iFile 是 iOS 上 一 款 非 常 强大 的 文件 管理 App， 可 以 看 作 是 iOs 版 的 Finder， 如 图 4-24 所 示 。 它 能 进行 各 种 文件 操作 ， 从 最 简单 的 浏览 ， 到 编辑 、 剪 贴 、 复 制 ， 还 可 以 安装 deb 文 件 ， 十 分 方便 。 


iFile 的 界面 十 分 直观 ， 无 需 过 多 说 明 。 如 果 要 安装 deb 文 件 ， 就 要 先 关 掉 Cydia， 然 后 在 点 击 deb 文 件 后 弹出 的 选项 中 选择 “Installer” 即 可 ， 如 图 4-25 所 示 。 
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4.8 MTerminal 


MTerminal 是 开源 的 iOS 版 Terminal， 基 本 功能 一 应 俱全 ， 如 
ЇЗ], 结合 Cycript 进 行 代码 测试 。 


图 4-25 


安装 deb 文 件 


图 4-26 所 示 。 其 用 法 与 Terminal 


区 别 不 大 ， 只 是 屏幕 和 键盘 小 了 点 。 笔 者 认为 MTerminal 最 实用 


的 场景 是 在 没有 电脑 的 环境 下 利 
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4.9 syslogd to/var/log/syslog 


syslogd 是 iOs 中 记录 系统 日 志 的 守护 进程 ， 


是 把 


“syslogd to/var/log/syslog" HFF 


日 志 给 写 入 “/varlog/syslog” 文件 中 ， 如 


图 4-27 所 示 。 
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Installed Package 


图 4-27 syslogd to/var/log/syslog 


在 安装 完 这 个 插件 后 要 重启 (reboot) 一 次 iOS， 才 会 生成 “/var/log/syslog” 文 件 。 在 iOS 运 行 的 全 过 程 中 这 个 文件 会 变 得 越 来 越 大 ， 可 以 通过 


FunMaker-5:~ root# cat /dev/null > /var/log/syslog 


命令 来 将 它 清空 ， 节 省 系统 容量 。 


440 小结 


本 章 重点 介绍 了 9 个 工具 ， 其 中 CydiaSubstrate、LLDB、Cycript 是 核心 中 的 核心 。 正 是 由 于 这 些 iOS 工 具 的 存在 ， 配 合 OSX 工 具 集 ， 才 构成 了 一 个 相对 完整 的 iOS 逆 向 工程 环境 。“ 既 要 知 其 然 ， 还 要 知 
其 所 以 然 ”， 要 对 工具 有 所 了 解 ， 从 下 一 章 开 始 ， 我 们 就 该 进一步 学 习 一 些 理论 了 。 


三 部 分 “理论 篇 


“第 5 章 Objective-C 相 关 的 OS 北向 理论 基础 
“第 6 章 ARM 汇 编 相关 的 OS 北向 理论 基础 


当 你 从 第 一 部 分 了 解 了 iOS 应 用 逆向 工程 的 基本 概念 ， 并 跟着 第 二 部 分 把 玩 过 一 些 逆向 工具 之 后 ， 就 已 经 具备 了 iOS 应 用 逆向 工程 的 基本 知识 。 当 你 完成 了 书 上 的 例子 之 后 ， 接 下 来 可 能 会 有 一 种 无 从 下 
手 的 感觉 ， 不 知道 下 一 步 该 做 些 什 么 。 北 向 工程 是 一 门 需要 动手 的 学 问 ， 而 从 哪里 动手 、 该 怎么 动手 ， 其 实 是 有 套路 可 循 的 。 第 5 章 和 第 6 章 分 别 尝试 从 Objective-C 和 ARM 的 角度 出 发 ， 用 iOS 应 用 逆向 工程 独 
有 的 理论 知识 把 介绍 过 的 工具 串联 起 来 ， 总 结 出 一 套 通 用 的 北向 工程 方法 论 。 这 就 开始 吧 |! 


第 5 章 Objective-C 相 关 的 iOS 逆 向 理论 基础 


Objective-C 语 言 是 一 门面 向 对 象 的 高 级 语言 ， 想 必 大 家 都 能 较为 熟练 地 掌握 它 的 基本 用 法 ， 在 逆向 工程 的 入 门 阶 段 采 用 Objective-C 语 言 有 助 于 大 家 更 平稳 地 从 App 开 发 进 阶 到 逆向 工程 。 幸 运 地 
是 ，iOs 采 用 的 文件 格式 Mach-O 中 包含 了 足够 多 的 原始 数据 ， 让 我 们 能 够 用 class-dump 等 工具 还 原 出 二 进 制 文 件 的 头 文件 ， 有 了 这 些 信息 ， 就 可 以 开始 Objective-C 级 别 的 逆向 工程 了 ， 而 撰写 tweak 无 疑 
是 这 个 阶段 最 受 欢迎 的 项 目 ， 下 面 就 从 它 开 始 吧 ! 


5.1 tweak 在 Objective-C 中 的 工作 方式 


在 第 3 章 中 介绍 Theos 时 ， 已 经 介绍 了 tweak 的 概念 。 依 据 维基 百科 的 定义 ，tweak 指 的 是 对 电子 系统 进行 轻微 调整 来 增强 其 功能 的 工具 ; 在 iOs 中 ，tweak 特 指 那 些 能 够 增强 其 他 进程 功能 的 dylib， 是 
越狱 和 OS 的 最 重要 组 成 部 分 。 


xl 


正 是 因为 tweak 的 存在 ， 越 狱 iOS 用 户 才能 依照 自己 的 喜好 打造 独一无二 的 个 性 化 系统 ，iOS 开 发 者 才 有 机 会 站 在 优秀 软件 的 肩膀 上 为 它们 添砖加瓦 ， 丰 富 它们 的 功能 ， 而 这 些 便利 都 是 原版 /OS 和 
AppStore 无 法 提供 的 。Cydia 中 最 受 欢 迎 的 软件 几乎 全 是 创意 各 异 的 tweak (图 5-1 是 Cydia 中 的 tweak 图 标 ) ， 如 Activator、Barrel、SwipeSelection 等 。 一 般 来 说 ， 一 个 tweak 的 核心 是 各 种 “hook”， 
而 绝 大 部 分 的 hook 是 针对 Objective-C 方 法 的 ， 那 么 tweak 是 如 何 工作 的 呢 ? 


IOSREMadridMessenger 


from Unknown / Local (Tweaks) 
Detect anq send IMessage example 


5-1 tweak E] Hf 


Objective-C 是 典型 的 面向 对 象 语言 。iOS 是 由 一 个 个 小 的 组 件 构成 的 ， 这 些 组 件 其 实 就 是 一 个 个 对 象 。 举 个 例子 ，iOS 里 的 每 个 图 标 、 每 条 信息 和 每 张 照片 都 是 对 象 ， 除 了 这 些 用 户 能 够 看 到 的 对 象 以 
外 ， 还 有 很 多 对 象 一 直 在 后 台 工 作 ， 为 前 台 对 象 提供 各 种 支持 。 例 如 有 些 对 象 负责 与 苹果 的 服务 器 通信 ， 有 的 对 象 负责 读 写 文件 。 一 个 对 象 可 以 拥有 其 他 对 象 ， 例 如 图 标 对 象 就 拥有 一 个 标签 对 象 ， 用 来 显 
示 这 个 图 标 代表 的 App 名 称 。 一 般 来 说 ， 每 个 对 象 都 有 自己 存在 的 意义 ， 工 程 师 通过 对 不 同 对 象 的 组 合 排序 ， 实 现 不 同 的 功能 ; 在 Objective-C 里 ， 我 们 称 对 象 的 功能 为 “方法 ”，“ 方 法 ”的 具体 行为 则 称 
为 “实现 ”。 对 象 、 方 法 和 实现 的 关系 ， 就 是 tweak 大 做 文章 的 地 方 。 


对 象 具备 了 某 种 功能 ， 代 码 就 可 以 发 出 指令 “[object method]”， 让 一 个 对 象 去 执行 它 的 功能 ， 也 就 是 “调用 对 象 的 方法 ”。 看 到 这 里 ， 可 能 有 朋友 会 说 ， 指 令 里 的 “对 象 ”和 “方法 ”都 是 名 词 ， 而 
执行 一 个 功能 需要 的 不 应 该 是 一 个 动词 吗 ? 说 得 没 错 ， 我 们 还 缺少 一 个 动词 ， 需 要 去 “实现 ”这 个 方法 。 需 要 的 动词 已 经 出 现 了 一 一 “实现 ”， 它 指 的 是 当 某 个 方法 得 到 调用 时 ，iOS 实 际 干 了 些 什么 ,也 
就 是 执行 了 什么 代码 。 在 Objective-C 里 ， 方 法 和 实现 的 关系 不 是 在 编译 时 决定 的 ， 而 是 在 运行 时 决定 的 。 


在 实际 使 用 中 ，“[object method]” 中 的 method 不 一 定 是 一 个 名 词 ， 它 也 可 能 是 一 个 动词 。 但 仅 赁 简短 的 [object method]， 还 是 不 知道 要 怎么 实现 这 个 方法 ， 比 如 : “妈妈 ， 接 一 下 电话 ”， 翻 译 
成 Objective-C 语 言 是 “[ 妈 妈 接 电话 ]” ， 这 里 的 对 象 是 妈妈 ， 方 法 是 “ 接 电 话 ”， 实 现 是 “放下 手 里 的 炒菜 铲子 ， 把 炉 火 关 小 一 点 ， 然 后 走 到 客厅 去 接 电 话 ”; “snakeninny， 过 来 搬 个 东西 ”， 翻 译 成 
Objective-C 语 言 是 “[snakeninny 搬 东西 ]”， 这 里 的 对 象 是 snakeninny， 方 法 是 “ 搬 东 西 ”， 实 现 是 “ 停 下 手 里 的 工作 ， 从 椅子 上 起 来 ， 走 到 老板 的 办 公 室 里 把 一 个 箱子 抬 到 楼 下 ”。 上 面 的 两 个 例子 如 
果 没 有 “实现 ”的 具体 描述 ， 即 使 调用 了 “方法 ”，“ 对 象 ” 也 不 知道 具体 该 干 嘛 。 “实现 ”是 “方法 ”的 释义 ，“ 方 法 ”是 词语 ，“ 实 现 ” 是 词语 的 意义 一 一 这 不 就 是 词典 吗 ? 


随 着 时 代 的 进步 ， 词 典 的 内 容 产生 了 变化 ， 一 些 旧 词语 被 赋予 了 新 解释 ，“ 灌 水 ” 跟 液 体 已 经 没有 太 大 关系 ，“ 粉 丝 ”也 从 一 种 食物 变 成 了 一 类 人 。 这 些 现象 在 iOs 中 也 有 体现 ， 我 们 可 以 通过 改变 "Sc 


现 ” 和 “方法 ”的 对 应 关系 ， 赋 予 一 个 方法 新 的 意义 ， 从 而 达到 更 改 对 象 功能 的 目的 ， 只 要 别人 在 查询 一 个 词语 意义 的 时 候 参 考 了 你 修改 过 的 词典 ， 那 么 他 的 方法 就 有 了 新 的 实现 ， 例 如 ， 笔 者 开发 的 
LowPowerBanner (如 图 5-2 所 示 ) 会 在 低 电 量 时 以 横幅 代 蔡 弹 窗 ， 提 醒 用 户 没 电 了 一 一 哈哈 ， 那 正 是 因为 笔者 更 改 了 低 电量 提醒 的 实现 ， 善 意 地 欺骗 系统 “ 弹 窗 ” 的 意思 是 “横幅 ”。 


笔者 的 另 一 个 短信 防火 墙 SMSNinja (如 图 5-3 所 示 ) 能 在 收 到 垃圾 短信 时 将 其 自动 放 进 垃圾 箱 ， 这 是 通过 更 改 iOS 收 到 短信 的 动作 实现 的 ， 在 原 有 基础 上 增加 了 检测 垃圾 短信 的 功能 。 这 种 “更 改 词典 
内 容 ” 的 方式 就 是 通过 CydiaSubstrate 进 行 hook 操 作 来 实现 的 。CydiaSubstrate 的 用 法 已 经 在 前 两 章 详细 介绍 过 了 ， 想 必 大 家 都 还 记得 。 
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图 5-2 LowPowerBanner 
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5.2 ”tweak 的 编写 套路 


只 有 理解 了 tweak 的 工作 方式 ， 才 能 在 编写 tweak 时 清楚 地 知道 自己 想 干什么 、 在 干什么 。 一 般 来 说 ,编写 tweak 会 用 到 C、C++ 和 Objective-C 三 种 语言 ， 有 了 一 个 灵感 时 ， 该 如 何 自 如 地 运用 这 三 种 
语言 把 灵感 变 成 一 个 好 用 的 tweak 呢 ? 事实 上 ， 编 写 tweak 的 思路 是 有 规律 可 循 的 ， 而 且 随 着 你 对 iOS 的 了 解 愈加 深入 ， 对 编程 语言 的 掌握 愈加 熟练 ， 这 种 规律 会 变 得 越 来 越 明 显 。 下 面 将 围绕 一 个 简单 的 
tweak 例 子 ， 从 iOs 工 程 师 使 用 最 多 的 Objective-C 语 言 开 始 分 析 ， 总 结 归 纳 Objective-C 级 别 的 逆向 工程 理论 。 


521 寻找 灵感 


可 能 有 部 分 iOS 工 程 师 读 到 这 里 时 ， 已 经 能 够 结合 前 几 章 的 知识 开始 开发 tweak 了 ， 但 可 能 也 还 有 部 分 人 感到 无 从 下 手 ， 不 知道 该 写 些 什么 东西 。 这 种 有 劲 儿 没 处 使 的 感觉 确实 挺 难 受 ， 面 对 这 种 情况 ， 
该 怎么 办 呢 ? 一 般 情况 下 ， 可 以 从 这 几 个 方面 找 灵感 。 


1. 多 使 用 ， 多 观察 


没事 就 把 你 的 手机 拿 出 来 把 玩 把 玩 ， 把 系统 的 每 个 角落 都 扫 一 遍 ， 别 光顾 着 刷 朋友 圈 。 虽 然 iOS 的 功能 已 足够 多 ， 但 也 不 可 能 符合 每 个 用 户 的 要 求 ， 所 以 ， 用 得 越 多 ， 你 对 iOs 的 了 解 就 越 多 ， 哪 些 地 方 
着 不 更 的 感觉 就 会 更 强烈 。 上 网 看 看 吧 ，iOS 的 用 户 基数 巨大 ， 他 们 中 一 定 有 跟 你 想法 相同 的 人 一 一 你 碰 到 需要 解决 的 实际 问题 了 ， 这 不 就 是 灵感 吗 ” 笔 者 在 iOS 6 时 代 开 发 的 Characount for Notes (如 
图 5-4 所 示 ) 就 是 这 样 得 来 的 。 当 时 ， 笔 者 经 常 把 微 博 的 内 容 存 成 记事 本 ， 但 微 博 是 有 140 字 限制 的 ， 于 是 就 做 了 一 个 这 样 的 tweak， 用 来 统计 记事 本 每 页 的 字数 ， 从 而 控制 微 博 的 长 度 。 曾 有 一 位 阿拉 伯 
户 还 专门 给 笔者 发 邮件 说 很 喜欢 这 个 插件 ， 希 望 如 入 更 多 功能 把 记事 本 改造 成 一 个 Word， 但 笔者 对 这 个 想法 不 大 感 兴趣 ， 所 以 只 好 对 他 说 声 抱歉 了 。 


п... PER > 
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备忘录 bbs.iosre.com wel... + 


今天 (27) 


——— av hk f — — AL наана 


11H25H 22:41 


bbs.iosre.com welcomes you! 


2. 倾 听 用 户 的 声音 


图 5-4 Characount for Notes 


每 个 人 使 


iOS 的 方式 不 同 ， 他 们 的 需求 各 异 。 如 果 你 


己 没 有 太 多 灵感 ， 那 就 多 听 听 果 粉 们 的 需求 ， 只 要 有 需求 ，tweak 就 有 | 


户 。 大 的 项 目 已 经 有 人 做 了 ， 我 们 就 针对 少数 人 群 定制 tweak; 水 平 不 


足 做 不 了 底层 的 复杂 功能 ， 就 从 高 层 的 简单 功能 做 起 ; 每 一 版 发 布 后， 虚心 听取 用 户 的 意见 和 建议 ， 及 时 改进 ， 快 速 迭代 ， 你 的 付出 不 会 没有 回报 。LowPowerBanner 这 个 iOS 6 插件 就 是 笔者 听取 用 户 
PrimeCode 的 建议 编写 的 ， 完 成 第 1 版 仅 用 了 约 5 小 时 ， 写 代码 不 到 50 行 ， 但 发 布 后 8 小 时 下 载 量 即 突 破 3 万 次 (如 图 5-5 所 示 ) ， 受 欢迎 程度 大 大 超出 笔者 的 预期 。 同 志 们 ， 群 众 的 眼睛 是 雪亮 的 ， 群 众 的 智 
慧 也 是 无 穷 的 ， 如 果 你 没有 什么 灵感 ， 就 走 到 群众 中 去 吧 ! 


Downloads for — 


App [Total Count|Installer| Cydia 
ISMSNinja (v1.2) [22934 m = 2934 - 
LowPowerBanner (v0.0.1-42) [35493 o |35493 | 


图 5-5 ”LowPowerBanner 的 第 一 版 下 载 量 


3. 解 剖 iOSs 


当 你 的 能 力 越 大 时 ， 能 做 的 事情 也 就 越 多 。 干 里 之 行 始 于 足下 ， 从 小 程序 做 起 ， 经 过 层 层 磨炼 ， 你 对 iOS 的 理解 会 不 断 加 深 ; iOS 是 个 封闭 的 系统 ， 它 暴露 给 我 们 的 只 是 冰山 一 角 ， 有 太 多 太 多 的 功能 还 
有 待 我 们 进一步 挖掘。 每 次 越狱 发 布 后 ， 都 会 有 人 把 最 新 的 头 文件 发 布 出 来 ，Google 一 下 “iOs private headers” 即 可 轻松 找到 下 载 链 接 ， 省 去 了 自己 class-dump 的 麻烦 。Objective-C 语 言 的 函数 命名 
很 规律 ， 大 多 数 函 数 都 可 以 望 名 生 义 ， 如 SpringBoard.h 里 的 ， 如 下 函数 : 


= (void) reboot; 
- (void) relaunchSpringBoard; 


和 UIViewController.h 里 的 ， 如 下 函数 : 


- (void) attentionClassDumpUser: (id)argl 

yesItsUsAgain: (id) arg2 
althoughSwizzlingAndOverridingPrivateMethodsIsFun: (id) arg3 
itWasntMuchFunWhenYourAppStoppedWorking: (id) arg4 
pleaseRefrainFromDoingSoInTheFutureOkayThanksBye: (id) arg5; 


通 览 这 些 函 数 名 ， 是 灵感 的 重要 来 源 之 一 ， 也 是 了 解 ijOS 底 层 的 便捷 渠道 。 掌 握 越 多 的 ijOS 实 现 细节 ， 意 味 着 手 里 握 有 的 零件 就 越 多 ， 因 此 你 就 能 组 装 出 与 别人 不 同 的 设备 。limneos 开 发 的 “Audio 
Recorder” 就 是 最 好 的 例子 ，iOS 早 在 2007 年 就 面世 了 ， 但 通话 录音 的 功能 直到 7 年 后 才 由 这 位 希腊 开发 者 实现 。 有 这 个 想法 的 人 很 多 很 多 ， 已 经 动手 的 人 也 肯定 不 在 少数 ， 但 为 什么 只 有 limneos 成 功 了 ? 
因为 他 对 iOS 的 解剖 比 别 人 更 彻底 ! 说 起 来 很 简单 ， 做 起 来 不 简单 。 


5.2.2 ”定位 目标 文件 


知道 自己 想 要 实现 什么 功能 后 ， 就 要 开始 寻找 实现 这 个 功能 的 二 进 制 文件 ， 方 法 一 般 有 以 下 几 种 。 


1. 固 定位 


现 阶段 我 们 的 逆向 目标 一 般 是 dylib、bundle 或 daemon， 它 们 在 系统 中 的 位 置 几乎 是 固定 的 : 
+ 基于 CydiaSubstrate 的 dylib 全 部 位 于 “/Library/MobileSubstrate/DynamicLibraries/” 下 ， 几 乎 不 费 吹 灰 之 力 就 可 以 轻松 定位 


“bundle 主 要 分 为 App 和 framework 两 类 ， 其 中 AppStore App 全 部 位 于 “/var/mobile/Containers/Bundl e/Appl ication/” 下 ， 系 统 App 全 部 位 于 “ “/ Applications/” 下 ，framewotk 全 部 位 
于 “/System/Library/Frameworks” 或 “/System/Library/PrivateFrameworks” 下 。 关 于 其 他 类 型 App 的 定位 ， 可 以 来 http://bbs.iosre.com 一 起 讨论 。 


+ daemon 的 配置 文件 均 位 于 “/System/Library/LaunchDaemons/”、“/Library/Launch-Daemons” 或 “/Library/LaunchAgents/” 下 ， 是 一 个 plist 格 式 的 文件 。 其 中 的 “ProgramArguments” 字段 ， 即 是 
daemon 可 执行 文件 的 绝对 路 径 ， 如 下 : 
snakeninnys-MacBook:- snakeninny$ plutil -p /Users/snakeninny/Desktop/com.apple.backboardd.plist 
{ 


"ProgramArguments" => [ 
0 => "/usr/libexec/backboardd" 
1 


2.Cydia 定 位 


通过 “dpkg-i” 命 令 安装 的 deb 包 ， 其 内 容 会 被 Cydia 如 实 记录 ， 若 要 查看 ， 在 Cydia 的 “Installed” 项 中 选择 “Expert” ， 如 图 5-6 所 示 。 


然后 选择 目标 软件 ， 进 入 “Details” 界 面 ， 如 


5-7 所 示 。 


l 
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| User | Expert | Recent | 


Activator 
from BigBoss (System) 
Centralized gestures, button and shortc... 


б adv-cmds 
г] from Cydia/Telesphoreo (Administration) 
finger, fingerd, last, Isvfs, md, ps 


Apple File Conduit "2" 
from Cydia/Telesphoreo (System) 
allow full file-system access over USB 


ИЗ APR (/usr/lib) 
J from Cydia/Telesphoreo (Development) 
just the /usr/lib folder from APR 


APT 0.7 (apt-key) 
from Cydia/Telesphoreo (Packaging) 
repository encryption key management t... 


~ APT 0.7 Strict (lib) 
e. 


from Cydia/Telesphoreo (Packaging) 


the advanced packaging library from De... 
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Cydia SOuUrces Change: Installed Search 
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< Installed Details Modify 
Activator 
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< Change Package Settings 


+ Author Ryan Petrich > 


Installed Package 


ES Version 


S Filesystem Content > | 
libactivator 


BigBoss : System 


图 5-7 Details 界面 


之 后 选择 “Filesystem Content”， 即 可 浏览 软件 包 里 的 所 有 文件 ， 如 图 5-8 所 示 。 


deb 包 中 的 每 个 文件 被 放 在 了 iOs 的 哪个 路 径 下 ， 一 目 了 然 。 


3.PreferenceBundle 


PreferenceBundle 是 寄生 在 Settings 应 用 里 的 App， 它 的 功能 界定 有 些 模糊 ， 既 可 以 作为 单纯 的 配置 文件 ， 由 别 的 进程 读 取 后 执行 ， 如 图 5-9 所 示 的 “DimlnCall” 界 面 。 


也 可 以 含有 实际 功能 ， 自 己 来 执行 一 些 操 作 ， 如 图 5-10 所 示 的 “WLAN” 界 面 。 


我 们 关注 的 重点 是 应 用 的 实际 功能 ， 因 此 如 何 定位 PreferenceBundle 执 行 实 际 功能 的 二 进 制 文件 ， 就 是 需要 研究 的 课题 之 一 。 来 自 AppStore 的 第 三 方 PreferenceBundle 仅 可 作为 配置 文件 存在 ,不 会 
含有 实际 功能 ;来自 Cydia 的 也 不 是 问题 ， 刚 才 介 绍 的 Cydia 定 位 方式 已 经 完全 够 用 了 ; 但 对 于 iOS 自 带 的 PreferenceBundle 来 说 ， 定 位 的 过 程 就 要 复杂 一 些 。 
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< Details Installed Files 


Applications 
Activator.app 

Activator 
Darklcon-small&2x.png 
Default-568h@2x~iphone.png 
Default-Landscape.png 
Default-Portrait. png 
Default.png 
Default@2x~iphone.png 
Default-iphone.png 


Icon-152.pnog 

Icon-76.png 
Icon-Small-modern.png 
lcon-Small-modern@2x.png 
Icon-Small.png 
lcon-Small@2x.png 
lcon@2x-iOS7.png 
lconGlyph@2x.png 
lconGlyph@3x.png 
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€ ОітіпСа! Microphone 


ACTIONS WHEN CONNECTED 
dim 


€ ° 
vibrate € `) 


SCREEN LIGHT SWITCH DURING A CALL 


proximity sensor € ` 


home button 
lock button 


volume buttons 


Toggling on will replace the corresponding 
object's original function with screen light 
swiic h 
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< Settings WLAN 


wan € 


CHOOSE A NETWORK... = 


Other... 


Ask to Join Networks 


Known networks will be joined automatically. If 
no known networks are available, you will have 
to manually select a network. 


图 5-10 WLAN 界面 


PreferenceBundle 的 界面 可 以 用 代码 编写 ， 也 可 以 用 具有 固定 格式 的 plist 文 件 构造 (格式 请 参考 http://iphonedevwiki.net/index.php/Preferences specifier plist) 。 在 逆向 此 类 程序 时 ， 如 果 发 现 
界面 中 的 控件 类 型 全 部 来 自 preference specifier plist 罗 列 的 标准 控件 类 型 ， 如 “About” 界 面 (如 图 5-11 所 示 ) ， 则 需 注 意 分 辨 此 界面 是 用 代码 编写 的 ， 还 是 用 plist 构 造 的 。 对 于 iOS 自 带 的 
PreferenceBundle 来 说 ， 如 果 是 用 代码 编写 的 ， 一 般 情况 下 实际 功能 就 已 经 包含 在 二 进 制 文件 里 了 ， 它 们 位 于 “/System/Library/PreferenceBundles/” 下 ; 如 果 是 用 plist 构 造 的 ， 就 需要 分 析 plist 和 实际 


功能 间 的 关系 ， 从 中 找到 切入 点 ， 定 位 含有 实际 功能 的 二 进 制 文件 。 总 之 ，PreferenceBundle 的 情况 相对 复杂 ， 并 不 适合 作为 新 手 练习 。 如 果 对 上 面 的 内 容 一 知 半 解 ， 不 要 紧 ， 稍 后 本 章 会 以 一 个 实例 来 提 
供 参考 。 更 多 关于 PreferenceBundle 的 讨论 ， 尽 在 http://bbs.iosre.com。 
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< General About 


Name FunMaker 5 


Network CHN-UNICOM 
Songs 0 
Videos 5 
Photos 115 
Applications 58 
Capacity 12.7 GB 
Available 831 MB 
Version 8.1 (128411) 


Carrier 中 国联 通 18.1 


图 5-11 About Ra 


4.grep 命 令 


grep 是 一 个 来 自 UNIX 系 统 的 命令 行 工具 ， 能 够 搜索 文件 中 是 否 含有 给 定 的 正则 表达 式 。OSX 自 带 grep 命 令 ，iOS 上 的 grep 命 令 则 是 由 Saurik 移 植 过 来 的 ， 随 着 Cydia 默 认 安装 。 在 寻找 一 个 字符 串 的 出 
处 时 ，grep 能 够 快速 缩小 查找 范围 。 例 如 ， 想 知道 都 有 哪些 地 方 调用 了 [IMDAccount initWithAccountID:de faults:service:]， 可 以 ssh 到 iOS 后 使 用 grep 命 令 查看 一 下 ， 如 下 : 


FunMaker-5:~ root# grep -r initWithAccountID:defaults:service: /System/Library/ 
Binary file /System/Library/Caches/com.apple.dyld/dyld shared cache armv7s matches 


grep: 
grep: 
grep: 
grep: 
grep: 


/System/Library/Caches/com.apple.dyld/enable-dylibs-to-override-cache: No such file or directory 
/System/Library/Frameworks/CoreGraphics.framework/Resources/libCGCorePDF.dylib: No such file or directory 
/System/Library/Frameworks/CoreGraphics.framework/Resources/libCMSBuiltin.dylib: No such file or directory 
/System/Library/Frameworks/CoreGraphics.framework/Resources/libCMaps.dylib: No such file or directory 
/System/Library/Frameworks/System.framework/System: No such file or directory 


从 运行 结果 得 知 ， 要 查找 的 函数 在 dyld_shared _cache_armv7s 中 出 现 了 。 再 次 对 decache 过 的 dyld_shared_ cache_armv7s 使 用 grep 命 令 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ grep -r initWithAccountID:defaults:service: /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5 
Binary file /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/dyld shared cache armv7s matches 
grep: /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/System/Library/Caches/com.apple.xpc/sdk.dylib: Too many levels of symbolic links 


grep: 


/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/System/Library/Frameworks/OpenGLES.framework/libLLVMContainer.dylib: Too many levels of symbolic links 


Binary file /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/System/Library/PrivateFrameworks/IMDaemonCore.framework/IMDaemonCore matches 


可 以 看 到 ，[IMDAccount initWithAccountID:defaults:service:] 出 现在 了 IMDaemonCore 中 ， 可 以 就 从 它 着 手 开始 分 析 。 


523 ”定位 目标 函数 


在 找到 含有 目标 功能 的 二 进 制 文件 之 后 ， 可 以 通过 class-dump 导 出 头 文件 ， 在 里 面 寻找 自己 感 兴趣 的 函数 。 具 体 做 法 比较 简单 ， 可 分 为 以 下 两 种 。 


1.0SX 自 带 的 搜索 功能 


不 得 不 承认 ，OSX 自 带 的 搜索 功能 在 笔者 用 过 的 操作 系统 中 是 最 强大 的 ， 强 大 到 既 能 搜索 文件 名 ， 又 能 搜索 文件 内 容 ， 而 且 不 论 是 搜 目 录 还 是 搜 全 盘 ， 速 度 都 非常 快 。 利 用 这 一 便利 工具 ， 可 以 在 大 量 
文件 中 快速 定位 目标 文件 ， 例 如 ， 对 iPhone 自 带 的 距离 感应 器 (Proximity Sensor) 很 感 兴趣 ， 想 看 看 相关 的 函数 可 能 会 提供 哪些 功能 ， 可 以 在 Finder 中 打开 保存 所 有 class-dump 头 文件 的 文件 夹 ， 然 后 
在 右上 角 的 搜索 栏 中 输入 proximity (大 小 写 不 敏感 ) ， 如 图 5-12 所 示 。 


默认 情况 下 Finder 会 把 本 机 所 有 内 容 中 含有 proximity 关 键 词 的 文本 文件 罗列 出 来 ， 如 图 5-13 所 示 。 


也 可 以 缩小 搜索 范围 ， 选 择 在 当前 目录 下 递归 搜索 文件 名 。 剩 下 的 工作 就 是 找 出 你 感 兴趣 的 文件 ， 然 后 开始 分 析 叶 ! 


Filenames 


Name matches: proximity 


Kind Date Last Opened 


C Hea...rce File Nov 26, 2013, 4:03 PM 
C Hea...Source May 26, 2013, 1:19 AM 
C Hea...rce File Oct 27, 2014, 8:29 AM 
C Hea...rce File Sep 30, 2013, 8:28 AM 
C Hea...rce File Sep 30, 2013, 8:28 AM 
C Hea...Source Apr 17, 2012, 2:48 PM 
C Hea...Source May 15, 2012, 3:52 PM 
C Hea...rce File Jun 27, 2014, 4:48 PM 


5-12 ARRIRA bti 


Search: ThIS Mac “8.1” 


_EKAlarmEngine.h 
_EKAlarmEngine.h 
_EKAlarmEngine.h 
ActionRecognition.h 
ActionRecognitionDelegate.h 
AddressBookController.h 
AddressBookController.h 
ATSDragToReorderTableViewController.h 
AUAudioDevice.h 
AXEventPathinfoRepresentation.h 
AXEventPathinfoRepresentation.h 
BackBoardServices-Symbols.h 
BaseAudioPlayer.h 
BKAccessibility.h 
BKProximityDetectionClient.h 
BKProximitySensorInterface.h 
CallViewController iPhone.h 


图 5-13 ”搜索 结果 


2.grep 命 令 


是 的 ， 你 没 看 错 ， 强 大 的 grep 再 一 次 出 现 了 。 既 然 grep 能 搜索 出 二 进 制 文件 里 的 字符 捉 ， 对 付 文本 文件 就 更 不 在 话 下 了 。 对 于 刚才 的 例子 ， 使 用 grep 来 试 试 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ grep -r -i p: y /Users/snake payee са Е а eHeaders/8.1 
Use rs/snaken ninny/Code/ 10SP ki vateHeaders/8 - 1/Fra rame duo Б /CoreLo catio n/CD: oh ns mityUUID[512]; 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/Frameworks/CoreLocation/C aM NSUUID * pro: mityUUID; 
/Use rs/snakeninny/Code/iOSPrivateHeaders/8.1/SpringBoard/SpringBoard.h:- (_Bool)proximityEve 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/SpringBoard/SpringBoard.h:- (void) proximi ene nae са: (i О 


虽然 grep 显 示 出 的 结果 大 而 全 ， 但 看 起 来 有 些 乱 。 推 荐 使 用 Finder 的 搜索 功能 ， 上 毕竟 在 便捷 程度 相差 无 几 的 情况 下 ， 图 形 界面 比 命令 行 界 面 用 起 来 更 方便 。 
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24 测试 函数 功能 


在 逆向 工程 中 ， 我 们 感 兴趣 的 绝 大 多 数 函 数 都 是 私有 的 ， 没 有 文档 可 供 参考 ， 如 果 运气 足够 好 ， 谷 歌 可 能 会 帮 上 你 的 忙 ， 但 也 可 能 说 明 你 想 做 的 东西 别人 已 经 做 过 了 ; 如 果 搜 索 不 到 ， 那 么 恭喜 ， 你 可 


能 发 现 了 一 块 新 大 陆 ， 但 是 ， 函 数 的 用 法 和 功能 需要 你 自己 测试 。 


Objective-C 函 数 的 功能 测试 相对 于 C/C++ 函数 来 说 要 简单 得 多 ， 有 CydiaSubstrate 和 Cycript 两 种 方法 可 供 选 择 。 


1.CydiaSubstrate 


ERABE, ЗЕ] ВСуаіаѕирѕігаіе 1 (hook) 住 一 个 函数 ， 从 而 判断 这 个 函数 的 调用 时 机 。 假 设 怀疑 SBScreenShotter.h 中 的 saveScreenshot: 在 截屏 时 得 到 了 调用 ， 就 可 以 撰写 以 下 


代码 来 验证 : 


shook SBScreenShotter 
— (void) saveScreenshot: (BOOL) screenshot 
{ 
Sorig; 
NSLog(8"iOSRE: saveScreenshot: is called"); 
} 


%епа 


将 filter 设 置 成 “com.apple.springboard”， 并 用 Theos 制 作成 deb， 安 装 在 is 中， 然后 注销 (respring) 一 次 。 如 果 感 觉 有 些 生 疏 ， 不 要 着 急 ， 这 是 正常 的 ， 不 求 快 ， 但 求 稳 。 等 锁 屏 界面 完全 出 现 
后 ， 同 时 按 下 home 键 和 lock 键 截屏 ， 然 后 ssh 到 iOS 查 看 syslog， 如 下 : 
FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 24 16:22:06 FunMaker-5 SpringBoard[2765]: iOSRE: saveScreenshot: is called 
可 以 看 到 ，syslog 中 出 现 了 我 们 的 自 定义 信息 ， 说 明 在 截屏 时 ，saveScreenshot: 得 到 了 调用 。 此 时 ， 你 一 定 会 跟 笔者 一 样 好 奇 : 这 个 函数 名 的 含义 太 明 显 了 ， 调 用 这 个 函数 ， 是 不 是 真 就 能 实现 截屏 的 
功能 呢 ? 
在 iOS 的 世界 中 ， 好 奇 不 会 害 死 猫 ， 就 怕 你 失去 好 奇 心 。 要 满足 好 奇 心 ， 就 用 Cycript! 
2.Cycript 
在 知道 Cycript 之 前 ， 笔 者 测试 函数 功能 的 工具 是 Theos。 比 如 ， 针 对 上 面 的 例子 ， 笔 者 会 编写 下 面 这 样 一 个 tweak。 
shook SpringBoard 
- (void) menuButtonDown: (id) down 
{ 
acer NR *shotter = [%c(SBScreenShotter) sharedInstance] 
[shotter saveScreenshot:YES]; // SH ОЖ БҮӘ RUNTU. AERA — 下 传 NO 是 什么 效果 
在 tweak 生 效 后 ， 按 下 home 键 ， 就 会 调用 saveScreenshot: 函数 ， 然 后 观察 屏幕 是 不 是 白光 一 和 内， 相册 里 是 不 是 多 了 一 张 截屏 。 再 进入 Cydia 把 tweak 删 掉 ， 把 home 键 的 单纯 还 给 它 …… 
其 实 如 果 没有 对 比 ， 这 种 方法 看 起 来 还 算 简单 ， 但 是 当 笔 者 用 Cycript 达 到 了 相同 目的 时 ， 才 后 知 后 觉 地 发 现 ， 以 前 浪费 了 多 少 “ 井 猜 " 的 “ 绳 命 ”! 
Cycript 的 用 法 前 面 已 经 介绍 过 了 ， 因 为 SBScreenShotter 是 SpringBoard 里 的 类 ， 所 以 这 里 将 Cycript 注 入 SpringBoard 进 程 ， 然 后 直接 调用 待 测试 函数 观察 实际 效果 即 可 ， 整 个 编译 过 程 对 我 们 是 透明 
的 ,测试 后 无 须 任何 清理 工作 ， 简 直 会 让 人 忍 不 住 哼 唱 : “ 测 一 个 简单 函数 ， 让 我 的 心情 快乐 ， 逆 向 就 像 一 条 河 ， 难 免 会 碰 到 波折 。“ 


ssh 到 iOS 后 输入 如 下 命令 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# [[SBScreenShotter sharedInstance] saveScreenshot: YES] 


你 的 屏幕 是 不 是 也 白光 一 闪 ，“ 味 哼 ” 一 声 ， 截 屏 一 张 ， 与 同时 按 下 2 个 键 截屏 的 效果 如 出 一 属 ”》 好 了 ， 现 在 可 以 确认 这 个 函数 能 完成 截屏 操作 了 。 为 了 进一步 满足 好 奇 心 和 求知 欲 ， 在 Cycript 提 示 符 


TR “个 ” 键 ， 重 复 上 一 次 输入 的 命令 ， 然 后 把 “YES” 改 成 “NO” ， 看 看 是 什么 效果 。 下 一 节 将 会 继续 说 明 。 


5.2.5 ”解析 函数 参数 


在 上 面 的 例子 中 ， 函 数 的 参数 明确 ， 函 数 名 的 含义 明显 ， 但 我 们 还 是 拿 不 准 在 调用 时 到 | 底 是 传 YES 还 是 NO， 只 能 靠 猜 。 浏 览 通过 class-dump 导 出 的 头 文件 时 ， 会 发现 绝 大 多 数 函 数 的 参数 类 型 是 id， 


也 就 是 Objective-C 里 的 泛 型 ， 它 们 是 在 运行 时 动态 决定 的 ， 猜 都 没 法 猜 。 我 们 从 感 兴趣 的 功能 开始 ， 一 路 分 析 到 了 对 应 的 函数 ， 只 差 一 步 就 能 闯 过 第 一 关 了 ， 难 道 要 就 此 放弃 ” “不 要 放 


弃 !“ 


CydiaSubstrate 和 Theos 异 口 同 声 地 说 。 


还 记得 我 们 是 怎样 判断 函数 调用 时 机 的 吧 ? 既 然 能 打印 一 个 自 定义 字符 串 ， 就 完全 能 打印 出 函数 参数 的 信息 一 一 description 函 数 能 够 把 对 象 的 内 容 表示 成 一 个 NSString，object_getClassName 函 数 


能 够 把 对 象 的 类 名 表示 成 一 个 char*， 两 者 可 分 别 用 %@ 和 9%s 打 印 出 来 ， 这 就 为 解析 参数 提供 了 足够 参考 。 对 于 刚才 完成 的 截屏 操作 ，saveScreenshot: 的 参数 是 YES 还 是 NO， 唯 一 的 区 别 好 像 在 于 屏幕 是 


否 闪现 白光 。 依 据 这 个 线索 ， 很 快 就 能 定位 到 可 疑 的 SBScreenFlash 类 ， 其 中 有 一 个 有 意思 的 函数 flashColorwithCompletion: 一 一 是 否 闪光 可 以 选择 ， 难 道内 光 的 颜色 也 可 以 改变 ?而且 ， 参 数 类 型 似乎 


就 是 UIColor 吧 ? 编写 下 面 的 代码 ， 来 满足 一 下 自己 的 好 奇 心 。 


%hook SBScreenFlash 

- (void) flashColor: (id)argl withCompletion: (id)arg2 

{ 

sorig 

NSLog(@" iOSRE: flashColor: $s, $8", object getClassName(argl), argl); // [argl description] 可 以 直接 写成 argl 
} 


%епа 


作为 练习 ， 请 读者 把 上 面 的 代码 变 成 一 个 可 用 的 tweak。 


安装 完成 后 ， 注 销 (respring) 一 次 ， 截 个 屏 ， 再 通过 ssh 命 令 连 接 到 iOS 上 看 看 syslog， 你 所 看 到 的 内 容 应 该 如 下 所 示 : 


FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 24 16:40:33 FunMaker-5 SpringBoard[2926]: iOSRE: flashColor: UICached DeviceWhiteColor, UIDeviceWhiteColorSpace 1 1 


可 以 看 出 ，color 是 一 个 UICachedDeviceWhiteColor 类 型 的 对 象 ， 它 的 description 是 “UIDevice WhiteColorSpace 11” 
档 中 搜索 不 到 这 个 类 ， 因 此 可 以 断定 它 是 个 私有 类 。 在 class-dump 出 的 UIKit 头 文件 中 找到 UICachedDeviceWhiteColor.h， 打 开 看 看 ， 如 下 : 


Qinterface UICachedDeviceWhiteColor : UIDeviceWhiteColor 


void) forceDealloc; 
void)dealloc; 

id)copy; 

id)copyWithZone: (struct _NSZone *)argl; 
id)autorelease; 

BOOL) retainWeakReference; 
BOOL) allowsWeakReference; 
unsigned int) retainCount; 
id) retain; 

oneway void) release; 

end 


( 
( 
( 
( 
( 
( 
( 
( 
( 
( 


ъа 


它 继承 自 UIDeviceWhiteColor， 于 是 继续 找到 UIDeviceWhiteColorh， 如 下 : 


@interface UIDeviceWhiteColor : UIColor 


float whiteComponent; 

float alphaComponent; 

struct CGColor *cachedColor; 
long cachedColorOnceToken; 


( 

( 
(BOOL)getWhite: (float *)argl alpha: (float *)arg2; 
(float) alphaComponent; 

(struct CGColor *)CGColor; 

(unsigned int) hash; 

(BOOL) isEqual: (id) argl; 

(id) description; 

(id) colorSpaceName; 

(void) setStroke; 

(void) setFill; 

(void) set; 

(id) colorWithAlphaComponent: (float) argl; 

(struct CGColor *) createCGColorWithAlpha: (float) argl; 
(id) copyWithZone: (struct .NSZone *)argl; 
(void)dealloc; 

(id)initWithCGColor: (struct CGColor *)argl; 
(id)initWithWhite: (float)argl alpha: (float)arg2; 

nd 
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BOOL) getHue: (float *)argl saturation: (float *)arg2 brightness: (float *)arg3 alpha: (float *)arg4; 
BOOL) getRed: (float *)argl green: (float *)arg2 blue: (float *)arg3 alpha: (float *)arg4; 


。 根 据 命 名 规则 ，UICachedDeviceWhiteColor 是 UIKit 中 的 一 个 类 ， 但 在 文 


UlDeviceWhiteColor 继 承 自 UIColor， 因 为 UIColor 是 一 个 公开 类 ， 所 以 对 参数 类 型 的 解析 到 这 个 程度 就 可 以 了 。 对 其 他 id 类 型 参数 的 解析 均 可 重复 上 述 思路 。 


知道 了 一 个 函数 的 调用 效果 ， 解 析 了 它 的 参数 ， 它 的 使 用 文档 就 可 以 由 我 们 自行 撰写 了 ， 建 议 大 家 对 


接 下 来 要 用 Cycript 来 测试 这 个 函数 ， 看 看 传 进去 一 个 [UIColor magentaColor] 是 什么 效果 ， 如 下 : 


FunMaker-5:~ root# cycript -p SpringBoard 


cy# [[SBScreenFlash mainScreenFlasher] flashColor:[UIColor magentaColor] withCompletion:nil] 


一 抹 紫 红色 的 光 在 屏幕 上 散 开 ， 比 白色 的 闪光 有 个 性 多 了 。 检 查 相册 ， 并 没有 看 到 新 截屏 ， 
此 产生 : 我 们 可 以 钩 住 (hook) 这 个 flashColor:with Completion: 函数 ， 把 自 定义 的 颜色 作为 参数 传递 给 它 ， 从 而 使 截屏 闪 


自己 分 析 的 函数 作 简单 记录 ， 这 样 在 下 次 使 用 时 就 能 迅速 回想 起 它 的 用 法 。 


此 自然 地 猜测 ， 这 个 函数 仅仅 负责 截屏 时 的 闪光 功能 ， 而 不 进行 实际 截屏 操作 个 新 的 tweak 灵 感 就 


光 变 得 丰富 多 彩 起 来 。 这 个 tweak 作 为 练习 ， 请 读者 独立 完 


以 上 的 套路 是 笔者 5 年 多 以 来 的 总 结 ， 因 为 iOS 逆 向 工程 没有 任何 官方 资料 可 供 参考 ， 笔 者 个 人 经 验 难免 有 失 偏 颇 ， 不 可 能 


5.26 class-dump 的 局 限 性 


面面俱到 ， 所 以 ，http://bbs.iosre.com 的 大 门 向 任何 讨论 开放 ， 欢 迎 提问 ! 


分 析 通 过 class-dump 导 出 的 头 文件 ， 我 们 找到 了 感 兴趣 的 东西 ， 并 在 5.2.4 节 的 Cycript 试 验 中 看 到 了 对 SBScreenShotter 类 中 saveScreenshot: 函数 传 YES 和 NO 两 种 参数 时 函数 的 不 同 执 行 效果 。 


在 5.2.5 节 里 ， 解 析 了 SBScreenFlash 类 的 flashColorwithCompletion: 函 数 参数 。 从 flashColorwithCompletion: 的 效果 来 看 ， 我 们 猜测 它 应 该 发 生 在 saveScreenshot: 的 内 部 ， 而 如 果 仅 根据 class- 
dump 的 头 文件 ， 结 合 CydiaSubstrate， 最 多 也 只 能 判断 出 saveScreenshot: 和 flashColorwithCompletion: 的 先后 调用 顺序 


， 至 于 两 者 的 实现 细节 和 调用 关系 则 不 得 而 知 。 


完成 了 一 个 tweak， 应 该 小 小 庆祝 一 下 。 从 灵感 ， 到 文件 ， 到 函数 ， 最 后 到 成 型 的 weak， 所 有 Objective-C 级 别 的 逆向 工程 都 遵循 这 个 套路 ， 只 是 实现 细节 不 同 而 已 。 即 使 完全 不 懂 越 狱 开 发 ， 相 信 你 


也 能 掌握 这 个 套路 ， 它 一 点 都 不 难 。 难 度 低 ， 门 槛 就 低 ， 竞 争 就 多 ， 压 力 就 大 ， 当 你 掌握 了 Obj 


ective-C 级 别 的 逆向 工程 思路 ， 想 要 进 阶 更 高 的 级 别 ， 就 会 发 现 class-dump 不 够 用 了 。 


在 完成 一 个 小 tweak 之 后 ， 我 们 还 应 清楚 地 意识 到 ， 与 这 个 tweak 相 关 的 很 多 知识 点 还 没有 弄 清楚 ， 而 通过 class-dump 得 到 的 信息 并 不 足以 支撑 我 们 弄 清 这 些 未 知 的 东西 ， 就 好 像 我 们 身 处 逆向 工程 这 


片 茂密 的 原始 森林 中 ，class-dump 提 供 了 可 以 落脚 的 小 屋 ， 但 要 走出 这 片 森林 ， 还 需 


学 者 都 没 能 成 功 翻越 它们 ， 拒 到 半山 腰 就 打道 回 府 了 ， 而 翻越 大 山 的 人 们 顺利 跨 过 逆向 工程 的 门槛 ， 欣 赏 到 了 别 样 的 风景 。 


5.3 ”实例 演示 


一 张 地 轿 


和 一 个 指南 针 一 一 它们 就 是 IDA 和 LLDB。 这 两 款 工具 就 像 两 座 挡 在 我 们 面前 的 大 山 ， 绝 大 多 数 逆向 工程 初 


在 翻 山越 岭 之 前 ， 本 节 将 针对 刚才 讲 过 的 理论 作 一 次 全 面 的 实战 演练 ， 让 大 家 更 了 


路 ， 完 整地 讲述 了 笔者 iOS 6 插件 “Speaker SBSettings Toggle” (如 图 5-14 所 示 ) 
逆向 工程 初学 者 的 状态 。 


F 固 地 掌握 所 学 的 知识 ， 以 便 更 平稳 地 过 
的 开发 过 程 。 


梦想 还 是 要 有 的 ， 万 一 实现 了 呢 ? 我 们 鼓 起 勇气 ， 试 试看 能 不 能 征服 它们 。 


度 到 第 6 章 。 本 次 实战 演练 的 内 容 是 一 个 真实 的 示例 ， 它 按照 5.2 节 所 示 的 套 


当时 笔者 还 不 会 使 用 IDA 和 


LLDB， 所 有 的 线索 几乎 都 来 自 class-dump 和 误 打 误 撞 ， 能 够 比较 好 地 代表 iOS 


中国 联通 € 


More Refresh Dock Respring Power 


0.0.9 ^ Wi-Fi IP Address: 192.168.3.4 
Data IP Address: N/A 
Storage: 249 MB on / 5532 MB on /var 
Available Memory: 126 MB 


图 5-14 Speaker SBSettings Toggle 


注意 ”下面 的 具体 步骤 已 不 适用 于 iOS 8， 请 大 家 当做 和 案例， 了解 思 路 ， 作 为 参考 就 好 。 


5.3.1 ”得 到 灵感 


2012 年 3 月 底 ， 笔 者 收 到 一 个 伊朗 帝 加 拿 大 人 Shoghian 发 来 的 邮件 ， 邮 件 中 分 享 了 一 个 创意 : iOS 通 话 时 用 户 可 以 从 听 简 切换 到 免 提 ， 但 很 少 有 人 知道 ,接听 来 电 时 是 可 以 默认 打开 免 提 的 ， 这 个 功能 
对 那些 开车 、 做 饭 或 工作 时 双手 不 方便 接 电话 的 人 非常 有 用 。 但 是 这 么 有 用 的 功能 却 被 iOS 藏 在 了 “设置 ”一 “通用 ”一 “辅助 功能 ”一 “来 电 使 用 ”的 四 级 目录 里 (如 图 5-15 所 示 ) ， 设 置 起 来 非常 繁 
琐 。SBsettings 上 各 种 各 样 的 开关 就 是 为 解决 这 类 问题 而 存在 的 ， 因 此 笔者 打算 把 这 个 功能 做 成 一 个 toggle， 帮 这 家 酒 香 不 怕 巷 子 深 的 饭店 找 一 个 临街 的 门面 ， 把 好 的 事物 呈现 在 更 多 人 的 面前 。 


Accessibility Incoming Calls 


Default 


Headset 


Speaker 


图 5-15 Incoming Calls jí 


5.3.2 ”定位 文件 


因为 这 个 功能 位 于 “设置 ”中 ， 所 以 笔者 的 第 一 反应 自然 是 在 “/Applications/Preferences.app” 和 “/System/Library/PreferenceBundles/” 里 寻找 可 疑 文件 ， 大 致 步骤 如 下 。 


1. 将 iOS 系 统 语言 换 成 英文 


因为 iOS 的 文件 系统 是 全 英文 的 ， 所 以 在 开始 分 析 之 前 ， 笔 者 先 把 iOS 的 系统 语言 设置 成 了 英文 ， 这 样 在 浏览 文件 系统 时 看 到 的 关键 词 与 UI 上 显示 的 关键 词 就 更 有 可 能 产生 对 应 关系 。 


2. 发 现 “Accessibility” 关 键 词 


切换 语言 后 ，“ 设 置 ” 一 “通用 ”一 “辅助 功能 ”一 “来 电 使 用 ”翻译 成 了 “Settings” 一 “General” 一 “Accessibility” 一 “Incoming Calls”， 其 中 Accessibility 关 键 词 引起 了 笔者 的 注意 ， 因 为 
不 结合 语 境 的 话 ，Accessibility 是 不 会 直译 成 “辅助 功能 ”的 。 于 是 笔者 ssh 到 iOS 中 ， 以 Accessibility 为 关键 词 进行 了 一 次 grep 操 作 ， 如 下 : 


FunMaker-4s:~ root# grep -r Accessibility / 

grep: /Applications/Activator.app/Default-568h@2x-iphone.png: No such file or directory 
grep: /Applications/Activator.app/Default.png: No such file or directory 

grep: /Applications/Activator.app/Default~iphone.png: No such file or directory 

grep: /Applications/Activator.app/LaunchImage-700-568h@2x.png: No such file or directory 
Binary file /Applications/Activator.app/en.lproj/Localizable.strings matches 

grep: /Applications/Activator.app/iOS7-Default-Landscape82x.png: No such file or directory 
grep: /Applications/Activator.app/iOS7-Default-Portrait82x.png: No such file or directory 
Binary file /Applications/AdSheet.app/AdSheet matches 

Binary file /Applications/Compass.app/Compass matches 


得 到 的 结果 很 多 ， 但 最 吸引 笔者 的 是 下 面 这 几 个 以 strings 为 后 缀 的 文件 : 


Binary file /Applications/Preferences.app/English.lproj/General-Simulator.strings matches 
Binary file /Applications/Preferences.app/English.lproj/General-iphone.strings matches 
Binary file /Applications/Preferences.app/General-Simulator.plist matches 

Binary file /Applications/Preferences.app/General.plist matches 

Binary file /Applications/Preferences.app/Preferences matches 

Binary file /Applications/Preferences.app/en GB.lproj/General-Simulator.strings matches 
Binary file /Applications/Preferences.app/en GB.lproj/General-iphone.strings matches 


如 果 不 出 意外 ， 它 们 是 App 字 符 串 本 地 化 的 配置 文件 ， 里 面 应 该 含有 Accessibility 在 代码 中 的 符号 名 。 用 Xcode 自 带 的 plutil 工 具 查看 strings 文 件 非常 方便 ， 先 来 看 
Æ "/Applications/Preferences.app/English.lproj/General-iphone.strings" , Т: 


snakeninnys-MacBook:- snakeninny$ plutil -p ~/General\~iphone.strings 
{ 
"Videoshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/..." => "? Videoshttp://www.hzcourse.com/resource/readBook?patk 
"Wallpaper" => "Wallpaper" Е 
"тү OUT" => "TV Out" 
"SOUND EFFECTS" => "Sound Effects" 
"d MINUTES" => "$8 Minutes" 


"ACCESSIBILITY" => "Accessibility" 
"Multitasking Gestures" => "Multitasking Gestures" 


Hi "ACCESSIBILITY" => “Accessibility” 基 本 可 以 断定 ，“ACCESSIBILITY” 就 是 代码 中 使 用 的 符号 名 。 


3. 发 现 General.plist 


有 了 新 的 线索 后 ， 以 大 写 的 ACCESSIBILITY 为 关键 词 ， 又 grep 了 一 遍 ， 如 下 : 


FunMaker-4s:~ root# grep -r ACCESSIBILITY / 


grep: 
grep: 
grep: 
grep: 
grep: 
grep: 


/Applications/Activator. 
/Applications/Activator. 
/Applications/Activator. 
/Applications/Activator. 
/Npplications/Activator. 
/Applications/Activator. 


app/Default-568h@2x~iphone.png: No such file or directory 
app/Default.png: No such file or directory 
app/Default~iphone.png: No such file or directory 
app/LaunchImage-700-568h@2x.png: No such file or directory 
app/iOS7-Default-Landscape@2x.png: No such file or directory 
app/iOS7-Default-Portrait82x.png: No such file or directory 


Binary file 
Binary file 
Binary file 
Binary file 
Binary file 
Binary file 
Binary file 
Binary file 
Binary file 
Binary file 


/Applications/Preferences. 
/Npplications/Preferences. 
/Npplications/Preferences. 
/Applications/Preferences. 
/Applications/Preferences. 
/Npplications/Preferences. 
/Applications/Preferences. 
/Applications/Preferences. 
/Npplications/Preferences. 
/Npplications/Preferences. 


app/Dutch.lproj/General-Simulator.strings matches 
app/Dutch.lproj/General-iphone.strings matches 
app/English.lproj/General-Simulator.strings matches 
app/English.lproj/General-iphone.strings matches 
app/French.lproj/General-Simulator.strings matches 
app/French.lproj/General-iphone.strings matches 
app/General-Simulator.plist matches 
app/General.plist matches 
app/German.lproj/General-Simulator.strings matches 
app/German.lproj/General-iphone.strings matches 


得 到 的 结果 与 刚才 grep 结 果 的 重合 度 很 高 ， 其 中 ， 刚 才 没有 留意 的 “/Applications/Preferences.app/General.plist” 显 得 格外 醒目 。 在 5.2.2 节 中 ， 特 意 提 到 了 PreferenceBundle 的 概念 ， 此 处 
General.plist 既 是 plist 格 式 的 文件 ， 又 包含 关键 词 ， 我 们 看 看 它 里 面 有 什么 : 


snakeninnys-MacBook:~ snakeninny$ plutil -р ~/General.plist 
{ 
"title" => "General" 
"items" => [ 
0 => { 
"cell" => "PSGroupCell" 


isf 
"detail" => "AboutController" 
"cell" => "PSLinkCell" 
"label" => "About" 


2 => ( 
"cell" => "PSLinkCell" 
"id" "SOFTWARE UPDATE LINK" 
"detail" => "SoftwareUpdatePrefController" 
"label" => "SOFTWARE UPDATE" 
"cellClass" => "PSBadgedTableCell" 
} 


24 = { 
"detail" = "PSInternationalController" 
"cell" => "PSLinkCell" 
"label" => "INTERNATIONAL" 

} 


25 = { 
"cell" => "PSLinkCell" 
"bundle" => "AccessibilitySettings 
"label" => "ACCESSIBILITY" 
"requiredCapabilities" => [ 

0 => "accessibility" 

] 
"isController" => 1 

} 

26 => { 
"cell" => "PSGroupCell" 

} 


4. 发 现 AccessibilitySetting.bundle 


果不其然 ， 这 个 文件 就 是 一 个 标准 的 preference specifier plist， 大 写 的 “ACCESSIB-ILITY” 来 


25 号 单元 。 对 比 preferences specifier plist 格 式 ， 将 目标 锁定 在 Accessibility-Settings 这 个 bundle 


rB; 由 AccessibilitySettings 的 名 字 ， 自 然 地 猜测 这 个 bundle 可 能 负责 Accessibility 下 的 所 有 功能 。 根 据 5.2.2 节 中 的 文件 固定 位 置 理论 ，AccessibilitySettings.bundle 一 定安 安静 静 地 身 
在 “/System/Library/PreferenceBundles/” 中 ， 对 将 要 发 生 在 自己 身上 的 


看 看 “/System/Library/PreferenceBundles/AccessibilitySetting.bundle” 里 面 有 什么 : 


情 浑然 不 知 。 


FunMaker-4s:~ root# ls -la /System/Library/PreferenceBundles/Accessibility Settings.bundle 
total 240 
drwxr-xr-x 37 root wheel 2414 Mar 10 
drwxr-xr-x 40 root wheel 1360 Jan 14 
этиет yasa 


root wheel 2146 Mar 10 
root wheel 438800 Mar 10 
root wheel 238 Dec 22 
root wheel 252 Mar 10 
root wheel 4484 Dec 22 
root wheel 916 Dec 22 
root wheel 646 Feb 7 
root wheel 646 Dec 22 
root wheel 646 Feb 7 
root wheel 646 Dec 22 
root wheel 703 Mar 10 
root wheel 807 Mar 10 
root wheel 652 Mar 10 
root wheel 507 Mar 10 
root wheel 383 Dec 22 
root wheel 447 Dec 22 
root wheel 1113 Dec 22 
root wheel 170 Dec 22 
root wheel 907 Mar 10 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 364 Dec 22 
root wheel 217 Mar 10 
root wheel 1030 Dec 22 
root wheel 346 Dec 22 
root wheel 646 Feb 7 
root wheel 394 Dec 22 
root wheel 622 Mar 10 
root wheel 467 Dec 22 
root wheel 2477 Mar 10 
root wheel 540 Mar 10 
root wheel 480 Dec 22 
root wheel 102 Dec 22 
root wheel 646 Feb 7 
root wheel 8371 Dec 22 
root wheel 2701 Dec 22 
root wheel 2487 Dec 22 
root wheel 2618 Dec 22 
root wheel 2426 Dec 22 
root wheel 2191 Dec 22 
root wheel 2357 Dec 22 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 955 Dec 22 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 
root wheel 646 Feb 7 

7 

7 

7 

7 

7 

7 

7 

7 

2 

7 

+ 

7 

7 


drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
i 


drwxr-xr-x 
drwxr-xr-x 


drwxr-xr-x 
drwxr-xr-x 


-rw-r--r-- 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
-rw-r 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
aprh 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 


root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 998 Dec 2. 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
root wheel 646 Feb 
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2013 
2014 
2013 
2013 
2012 
2013 
2012 
2012 
2013 
2012 
2013 
2012 
2013 
2013 
2013 
2013 
2012 
2012 
2012 
2012 
2013 
2013 
2013 
2012 
2013 
2012 
2012 
2013 
2012 
2013 
2012 
2013 
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2012 
2012 
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2012 
2012 
2012 
2012 
2012 
2012 
2012 
2013 
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2013 
2013 
2013 
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2012 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2013 
2012 
2013 
2013 
2013 
2013 


http ://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/.. 


Accessibility.plist 


AccessibilitySettings 
BluetoothDeviceConfig.plist 


BrailleStatusCellSettings.plist 


ColorWellRound62x.png 
ColorWellSquare82x.png 
Dutch.lproj 
English.lproj 
French.lproj 
German.lproj 
GuidedAccessSettings.plist 


HandSettings.plist 


HearingAidDetailSettings.plist 
HearingAidSettings.plist 
HomeClickSettings.plist 
IconPlay@2x.png 
IconRecord@2x.png 
IconStop@2x.png 
Info.plist 
Italian.lproj 
Japanese.lproj 
LargeFontsSettings.plist 
NavigateImagesSettings.plist 
QuickSpeakSettings.plist 


RegionNamesNonLocalized.strings 


Spanish. lproj 


SpeakerLoad1@2x.png 


TripleClickSettings.plist 
VoiceOverBrailleOptions.plist 
VoiceOverSettings.plist 
VoiceOverTypingFeedback.plist 


ZoomSettings.plist 


_CodeSignature 


ar. 


lproj 


bottombar@2x~iphone.png 
bottombarblue@2x~iphone.png 


bottombarblue_pressed@2x~iphone.png 


bottombarred@2x~iphone.png 


bottombarred_pressed@2x~iphone.png 


bottombarwhite@2x~iphone.png 


bottombarwhite_pressed@2x~iphone.png 
ca. 
cs. 
da. 
el. 


en 


£i 


lproj 
lproj 
lproj 
lproj 
GB.lproj 
lproj 


hare@2x.png 


he 


hu 


.lproj 
hr. 


lproj 


.1ргој 
іа. 
.1ргој 
.1ргој 
.1ргој 
.1ргој 
.1ргој 


lproj 


PT.lproj 


.lproj 
.1ргој 
.1ргој 
.1ргој 
.lproj 
.1ргој 


turtle@2x.png 


uk. 
vi. 


zh 


zh 


lproj 
lproj 
СМ.1ргој 
TW.lproj 


这 里 的 GuidedAccess、HearingAid 和 HomeClick 等 字眼 和 我 们 在 “Accessibility” 中 看 到 的 内 容 吻 合 (如 图 5-16 所 示 ) ， 它 们 印证 了 笔者 的 猜测 。 


5. 发 现 “ACCESSIBILITY_DEFAULT_HEADSET” 关 键 词 


借助 强大 的 grep， 以 “Incoming” 为 关键 词 搜索 一 下 这 个 bundle， 如 下 : 


Hearing 


Hearing Aids > 


LED Flash for Alerts 


Mono Audio 


Adjust the audio volume balance between 
left and right channels. 


Learning 
Guided Access Off > 


Physical & Motor 


键 词 重合 度 高 


FunMaker-4s:~ root# grep -r Incoming /System/Library/PreferenceBundles/AccessibilitySettings.bundle 
Binary file /System/Library/PreferenceBundles/AccessibilitySettings.bundle/English.lproj/Accessibility-iphone.strings matches 
Binary file /System/Library/PreferenceBundles/AccessibilitySettings.bundle/en GB.lproj/Accessibility-iphone.strings matches 


BANAR EA DAHA ASW. FFA “/System/Library/PreferenceBundles/AccessibilitySettings.bundle/English.|proj/Accessibility~iphone.strings” Ba: 


snakeninnys-MacBook:- snakeninny$ plutil -p ~/Accessibility\~iphone. strings 
{ 
"HAC MODE POWER REDUCTION N90" => "Hearing Aid Mode improves performance with some hearing aids, but may reduce cellular reception." 
"LEFT RIGHT BALANCE SPOKEN" => "Left-Right Stereo Balance" 
"QUICKSPEAK TITLE" => "Speak Selection" 
"LeftStereoBalanceIdentifier" => "L" 
"ACCESSIBILITY DEFAULT HEADSET" => "Incoming Calls" 
"HEADSET" => "Headset" 
"CANCEL" => "Cancel" 
"ON" => "On" 
"CUSTOM VIBRATIONS" => "Custom Vibrations" 
"CONFIRM INVERT COLORS REMOVAL" => "Are you sure you want to disable inverted colors?" 
"SPEAK AUTOCORRECTIONS" => "Speak Auto-text" 
"DEFAULT HEADSET FOOTER" => "Choose route for incoming calls." 
"HEARING AID COMPLIANCE INSTRUCTIONS" => "Improves compatibility with hearing aids in some circumstances. May reduce 2G cellular coverage." 
"DEFAULT HEADSET" => "Default to headset" 
"ROOT LEVEL TITLE" => "Accessibility" 
"HEARING AID COMPLIANCE" => "Hearing Aid Mode" 
"CUSTOM VIBES INSTRUCTIONS" => "Assign unique vibration patterns to people in Contacts. Change the default pattern for everyone in Sounds settings." 
"VOICEOVERTOUCH TEXT" => "VoiceOver is for users with 
blindness or vision disabilities." 
"IMPORTANT" => "Important" 
"COGNITIVE HEADING" => "Learning" 
"HAC MODE EQUALIZATION N94" => "Hearing Aid Mode improves audio quality with some hearing aids." 
"SAVE" => "Save" 
"HOME CLICK TITLE" => "Home-click Speed" 
"AIR TOUCH TITLE" => "AssistiveTouch" 
"CONFIRM ZOT REMOVAL" => "Are you sure you want to disable Zoom?" 
"VOICEOVER TITLE" -» "VoiceOver" 
"OFF" — "Off" 
"GUIDED ACCESS TITLE" => "Guided Access" 
"ZOOMTOUCH TEXT" => "Zoom is for users with low-vision acuity." 
"INVERT COLORS" => "Invert Colors" 
"ACCESSIBILITY SPEAK AUTOCORRECTIONS" => "Speak Auto-text" 
"LEFT RIGHT BALANCE DETAILS" => "Adjust the audio volume balance between left and right channels." 
"MONO AUDIO" => "Mono Audio" 
"CONTRAST" => "Contrast" 
"ZOOM TITLE" => "Zoom" 
"TRIPLE CLICK HEADING" => "Triple-click" 
"OR" => "OK" 一 
"SPEAKER" => "Speaker" 
"AUTO CORRECT TEXT" — 
and auto-capitalizations 
"HEARING" = Hearing" 
"LARGE FONT" => "Large Text" 
"CONFIRM VOT USAGE" => "VoiceOver" 
"CONFIRM VOT REMOVAL" "Are you sure you want to disable VoiceOver?" 
"HEARING AID TITLE" => "Hearing Aids 
"FLASH LED" => "LED Flash for Alerts" 
"VISION" => "Vision" 
"CONFIRM ZOOM USAGE" => "Zoom" 
"DEFAULT" => "Default" 
"MOBILITY HEADING" => "Physical & Motor" 
"TRIPLE CLICK TITLE" => "Triple-click Home" 
"RightStereoBalanceIdentifier" —» "R" 


Automatically speak auto-corrections 


"ACCESSIBILITY DEFAULT HEADSET" - > "Incoming Calls" 给 了 我 们 非常 明显 的 提示 ， 以 它 为 线索 继续 查找 。 


6. 定 位 Accessibility.plist 


FunMaker-4s:~ root# grep -r ACCESSIBILITY DEFAULT HEADSET /System/Library/PreferenceBundles/AccessibilitySettings.bundle 
Binary file /System/Library/PreferenceBundles/AccessibilitySettings.bundle/Accessibility.plist matches 

Binary file /System/Library/PreferenceBundles/AccessibilitySettings.bundle/Dutch.lproj/Accessibility~iphone.strings matches 
http: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/... 


除了 一 个 plist 文 件 外 ， 其 他 都 是 strings 文 件 ， 那 就 是 它 了 。 看 看 它 里 面 有 什么 : 


snakeninnys-MacBook:- snakeninny$ plutil -р ~/Accessibility.plist 


"title" => "ROOT LEVEL TITLE" 
"items" => [ 
0 = { 
"label" => "VISION" 
"cell" => "PSGroupCell" 
"footerText" => "AUTO CORRECT TEXT" 


1 => { 
"cell" => "PSLinkListCell" 


"label" "VOICEOVER TITLE" 
"detail "VoiceOverController" 
"get" => "voiceOverTouchEnabled:" 
} 
2 = { 


"cell" => "PSLinkListCell" 
"label" => "ZOOM TITLE" 


"detail" => "ZoomController" 
"get" => "zoomTouchEnabled:" 
l 
18 => { 


"cell" => "PSLinkListCell" 
"label" => "НОМЕ CLICK TITLE" 

i "HomeClickController" 
homeClickSpeed:" 


> “"PSListItemsController" 
accessibilitySetPreference: specifier: 
"validValues" => [ 

0 => 0 

1 => 1 

2 => 2 


] 
"get" => "accessibilityPreferenceForSpecifier:" 
"validTitles" => [ 
0 => "DEFAULT" 
1 => "HEADSET" 
2 => "SPEAKER" 
] 
"requiredCapabilities" => [ 
0 => "telephony" 
] 


"cell" => "PSLinkListCell" 
"label" => "ACCESSIBILITY_DEFAULT_HEADSET" 
"key" => "DefaultRouteForCall" 


又 是 一 个 标准 的 preference specifier plist， 而 且 我 们 知道 了 这 个 配置 的 setter 和 getter 分 别 是 accessibilitySetPreference:specifier 和 accessibilityPreferenceForSpecifier， 可 以 进入 下 一 环节 了 。 


533 ”定位 函数 


根据 preference specifier plist 标 准 ， 在 选择 “Incoming Calls” 中 的 某 一 行 时 ， 其 setter， 即 accessibilitySetPreference:specifier: 函数 得 到 调用 。 但 问题 随 之 而 来 ， 这 个 函数 存在 于 


AccessibilitySettings.bundle 里 ， 笔 者 当时 不 知道 怎么 将 这 个 bundle 加 载 进 内 存 ， 因 此 没 法 调用 这 个 函数 ; 也 不 会 用 DA 和 LLDB， 在 class-dump 的 函数 里 找 了 又 找 ， 仍 没有 发 现任 何 线索 ， 感 觉 这 个 问题 
的 难度 已 经 超出 笔者 的 能 力 范围 ， 一 时 解决 不 了 ， 还 诅 丧 地 给 Shoghian 发 了 封 邮 件 ， 如 图 5-17 所 示 。 


A (А: Shahrouz Shoghian 

«m amm 1 mami am gom m 

主题 : Re: 

收 件 人 : ВЕБЕ ШШЕ <snakeninny@yahoo.com.cn> 
日 期 : 20123E4 H14H,1I8 7x, E.^F12:29 


Wish i could help. Shoulda taken some computer 
engineering classes at my uni 


Shahrouz Shoghian 


On 2012-04-13, at 2:41 AM, "ЫШ e" 
<snakeninny@yahoo.com.cn> wrote: 


i'm kind of stuck at a place and looking for a 
compromise 


Sent from my iPhone 


图 5-17 我 和 Shoghian 之 间 的 交流 


这 个 问题 卡 了 笔者 近 两 个 星期 ， 期 间 笔 者 一 直 在 想 ，iOS 能 在 这 个 函数 里 干 些 什么 呢 ? 因为 preferences specifier plist 中 提供 了 PostNotification 这 一 方式 来 通知 别 的 进程 配置 文件 发 生 了 变动 ， 而 


AccessibilitySettings 的 配置 与 电话 相关 ， 正 好 也 是 进程 间 通 信 的 模式 ， 那 么 ，accessibilitySetPreference:specifier: 的 作用 会 不 会 是 改动 配置 文件 ， 然 后 发 出 一 个 通知 ? 于 是 笔者 利用 limneos 开 发 的 
LibNotifyWatch， 在 手动 改变 “来 电 使 用 ”配置 时 观察 系统 中 是 否 出 现 了 相关 的 通知 ， 没 想到 ， 还 真 让 笔者 牌 打 正 着 了 ， 如 下 : 


FunMaker-4s:~ root# grep LibNotifyWatch: /var/log/syslog 
Nov 26 00:09:20 FunMaker-4s Preferences [6488]: LibNotifyWatch: 
Nov 26 00:09:20 FunMaker-4s Preferences [6488]: LibNotifyWatch: 


Nov 26 00:09:21 FunMaker-4s Preferences[6488]: LibNotifyWatch: 


Nov 26 00:09:21 FunMaker-4s Preferences[6488]: LibNotifyWatch: notify post com.apple.accessibility.defaultrouteforcall 


笔者 发 现 了 2 条 名 为 “com.apple.accessibility.defaultrouteforcall” 的 通知 ! 结合 前 面 的 一 系列 推导 ， 想 来 没有 必要 再 多 作 解 释 了 。 发 现 了 最 可 疑 的 通知 后 ， 面 对 的 就 是 另 一 个 同样 重要 的 问题 : 配置 
文件 在 哪里 ? 


第 2 章 说 过 ，“/var/mobile/” 中 存放 了 大 量 用 户 数 据 。 “/var/mobile/Containers/” 中 全 是 App 相 关 数 据 ，“/var/mobile/Media/” 中 全 是 媒体 文件 ,而 在 “/var/mobile/Library/” 中 稍 加 浏览 就 
很 容易 发 现 “/var/mobile/Library/Preferences/” 目 录 ， 进 而 找到 “com.apple.Accessibility.plist”， 其 内 容 如 下 : 


snakeninnys-MacBook:~ snakeninny$ plutil -р ~/com.apple.Accessibility.plist 


"DefaultRouteForCallPreference" => 2 
"VOTQuickNavEnabled" => 1 
"CurrentRotorTypeWeb" => 3 
"PunctuationKey" => 2 


"ScreenCurtain" => 0 
"VoiceOverTouchEnabled" => 0 
"AssistiveTouchEnabled" => 0 


<CFNotification Center 0х1е875600 [0x39b4b100]> postNotificationName:UIViewAnimationDidCommitNotification object: 
<CFNotificationCenter 0x1e875600 [0x39b4b100]> postNotificationName:UIViewAnimationDidStopNotification object:<UI 


CFNotificationCenterPostNotification center=<CFNotificationCenter Oxldd86bd0 [0x39b4b100]> name=com.apple.accessi 


在 iOS 中 改变 “来 电 使 用 ”的 配置 ， 观 察 DefaultRouteForCallPreference 值 的 变化 规律 ， 很 容易 得 出 结论 : 0 对 应 default，1 对 应 headset，2 对 应 speaker， 与 Accessibility.plist 的 内 容 吻 合 。 


5.3.4 ”测试 函数 


在 经 过 漫长 的 推理 之 后 ， 笔 者 总 算得 出 了 一 个 可 能 的 解决 方案 ， 仪 需 极 少 代码 即 可 修改 配置 文件 ， 然 后 发 出 一 个 通知 ， 就 这 么 简单 。 这 个 方案 可 行 吗 ” 怀 揣 一 颗 悄 悄 不 安 又 春 吉 和 欲 动 的 心 ， 用 激动 的 双 
手 敲 出 了 下 面 为 数 不 多 的 几 行 代码 ( 那 时 候 还 不 会 用 Cycript， 所 以 用 tweak 测 试 ) : 


shook SpringBoard 
= (void)menuButtonDown: (id) down 
{ 
Sorig; 
NSMutableDictionary *dictionary = [NSMutableDictionary dictionary WithContents OfFile:8"/var/mobile/Library/Preferences/com.apple. Accessibility.plist"]; 
[dictionary setObject: [NSNumber numberWithInt:2] forKey:@"DefaultRouteForCallPreference"] ; 
[dictionary writeToFile:@"/var/mobile/Library/Preferences/com.apple. Accessibility. plist" atomically: YES]; 
notify post ("com.apple.accessibility.defaultrouteforcall"); 


编译 、 运 行 、 安 装 、respring， 闭 着 眼睛 按 下 home 键 ， 然 后 伴 着 极 快 的 心跳 依次 打开 “Settings” 一 “General” 一 “Accessibility” 一 “Incoming Calls” 一 一 已 选项 变 成 了 “Speaker”， 成 功 
啦 ! 


5.3.5 ”编写 实例 代码 


程序 的 核心 功能 已 经 验证 完毕 ， 写 代码 就 不 用 费 脑 子 了 。 按 照 SBSettings toggle 的 编写 规范 完成 代码 (http://thebigboss.org/guides-iphone-ipod-ipad/sbsettings-toggle-spec) ， 完 整 代码 如 
F: 


#import <notify.h> 
#define ACCESSBILITY @"/var/mobile/Library/Preferences/com.apple.Accessibility. plist" 
// Required 
extern "C" BOOL isCapable() { 
if (kCFCoreFoundationVersionNumber >= kCFCoreFoundationVersionNumber iOS 5 0 && [[[UIDevice currentDevice] model] isEqualToString:@"iPhone"]) 
return YES; OO 
return NO; 


} 

// Required 

extern "С" BOOL isEnabled() { 
NSMutableDictionary *dictionary = [[NSMutableDictionary alloc] initWithCont entsOfFile:ACCESSBILITY]; 
BOOL result = [[dictionary objectForKey:@"DefaultRouteForCallPreference"] intValue] == 0 ? МО: YES; 
[dictionary release]; 
return result; 


} 
// Optional 
// Faster isEnabled. Remove this if it's not necessary. Keep it if isEnabled() is expensive апа you can make it faster here. 
extern "C" BOOL getStateFast() ( 
return isEnabled(); 
} 
// Required 
extern "C" void setState (BOOL enabled) { 
NSMutableDictionary *dictionary = [[NSMutableDictionary alloc] initWithCont entsOfFile:ACCESSBILITY]; 
[dictionary setObject: [NSNumber numberWithInt: (enabled ? 2 : 0)] forKey:@"D efaultRouteForCallPreference"]; 
[dictionary writeToFile:ACCESSBILITY atomically:YES]; [dictionary release]; 
notify post ("com.apple.accessibility.defaultrouteforcall"); 


l 
// Required 
// How long the toggle takes to toggle, in seconds. 
extern "C" float getDelayTime() ( 
return 0.6f; 


} 


因为 程序 的 创意 来 自 Shoghian， 所 以 笔者 在 发 布 这 个 程序 时 也 标注 了 他 的 名 字 (如 图 5-18 所 示 ) 。 他 很 高 兴 ， 我 们 还 成 了 朋友 ， 偶 尔 也 天 南 地 北 地 扯 上 一 会 儿 。Speaker SBSettings Toggle 是 笔者 发 
布 在 Cydia 上 的 第 三 个 程序 ， 虽然 功能 简单 ， 也 没有 作 什 么 宣传 ， 但 还 是 累积 了 近 10000 的 下 载 量 (如 图 5-19 所 示 ) ， 对 此 笔者 已 经 很 满意 了 。 更 重要 的 是 ， 这 个 tweak 的 制作 历经 坎坷 ， 看 似 简单 的 功能 却 
让 笔者 花费 了 九 牛 二 虎 之 力 ， 无 疑 给 了 当时 刚刚 上 路 ， 有 些 轻飘飘 的 笔者 当头 一 棒 ! 类 似 的 情况 出 现 过 若干 次 后 ， 笔 者 才 意 识 到 仅仅 使 用 class-dump 来 做 逆向 工程 是 不 靠 谱 的 ， 也 间接 促使 笔者 下 定 决心 学 
习 IDA 和 LLDB， 从 而 迈 入 了 iOS 首 向 工程 的 新 阶段 。 


Speaker SBSettings Toggle 


1.0 278 kB 


273 Change Package Settings ? 


> Author snakeninny & S.Shoghian > 


Installed Package 


Version 1.0 


| E Filesystem Content > 


com.naken.speaker 
BigBoss - Addons (SBSettings) 


тт 


Installed 


ISMSNinja (v1.3.1) [102947 o | 102947 


Speaker SBSettings Toggle (v0.0.1-3) [9522 o 9522 
ICharacount for Notes (v1.0) [14447 o [14447 | 


5A 小 结 


5-19 积累 了 近 10000 下 载 量 


本 章 较为 完整 地 介绍 了 tweak 的 作用 原理 及 编写 简单 tweak 的 思路 和 流程 ， 佐 以 真实 案例 ， 能 够 较 好 地 为 初学 者 提供 参考 。Objective-C 级 别 的 逆向 工程 是 iOS 逆 向 工程 的 第 一 关 ， 在 没有 上 手 IDA 和 
信 你 从 案例 里 也 看 出 来 了 ， 我 们 对 二 进 制 文件 的 逆向 非常 力不从心 ， 当 问题 的 关键 集中 在 代码 上 时 ， 解 决 问题 的 主要 方式 就 


LLDB 之 前 ， 对 IOs 的 逆向 工程 不 可 能 深入 到 什么 地 步 ， 也 没有 什么 逻辑 可 言 ， 相 


是 猜 ! 虽然 刚才 编写 的 代码 跟 iOS 自 身 的 实现 差 了 十 万 八 干 里 ， 但 因为 Objective-C 函 数 名 的 可 读 性 高 ， 所 以 即使 是 猜 , 


感觉 ， 让 人 耳目 一 新 。 


在 逆向 工程 初学 阶段 ， 我 们 的 主要 目的 是 熟悉 越狱 IOS 环 境 ， 了 解 前 几 章 讲 到 的 各 种 逆向 知识 点 ， 
class-dump 出 的 头 文件 ， 把 那些 语义 明显 、 自 己 感 兴趣 的 函数 放 到 iOS 上 实测 一 下 ， 这 个 过 程 能 极 大 地 增加 你 对 iOS 底 


考 、 勤 练习 ， 就 能 早日 提炼 出 更 适合 自己 的 方法 ， 进 一 步 达到 更 高 的 水 平 。 


第 6 章 “ARM 汇 编 相 关 的 iOSs 逆 向 理论 基础 


也 还 是 能 利 | 


在 掌握 各 种 工 


法 的 同时 有 意识 地 培养 自 


class-dump 出 的 函数 达到 预期 效果 ， 给 自 


己 带 来 跟 App 开 发 完全 不 同 的 


己 的 逆向 思维 。 如 果 时 间 比 较 充裕 ， 强 烈 建议 大 家 通 览 


层 的 熟悉 程度 ， 配 合 后 续 的 IDA 与 LLDB 学 习 ， 能 达到 事半功倍 的 效果 。 只 要 我 们 多 思 


前 面 的 章节 中 介绍 了 iOs 逆 向 工程 的 基础 知识 ， 包 括 一 些 常见 工具 的 组 合 使 有 


发 tweak 了 。 但 是 ， 既 然 看 到 了 这 里 ， 相 信 大 家 都 
零 距 离 接触 编程 世界 里 最 让 人 头 大 的 知识 。 请 先 深呼吸 一 分 钟 ， 然 后 问 问 自己 : 


“我 是 否 真 的 适合 深入 学 习 iOS 逆 向 工程 ?“ 


下 面 即 将 面 对 iOSs 逆 向 工程 中 的 第 一 个 进 阶 难点 : 阅读 ARM 汇 编 语 言 。 经 过 


读 机 器 码 都 已 经 是 一 个 非常 恼人 的 工作 ; 好 在 Objective-C 和 机 器 码 之 间 有 汇编 语言 这 及 


， 在 掌握 了 这 些 知识 之 后 ， 简 单 地 把 玩 一 人 Objective-C 私 有 函数 ， 满 足 一 下 自 


己 的 好 奇 心 已 经 没 问题 了 ， 可 以 针对 App 开 


有 比较 强 的 钻研 精神 ， 如 果 想 要 真正 提高 自己 的 能 力 ， 就 要 尝试 一 些 更 有 挑战 性 的 内 容 。 那 么 ， 从 这 一 章 开 始 ，iOS 逆 向 工程 就 将 进入 “ 极 尽 ”， 我 们 将 
在 完成 本 章 之 后 ， 相 信 你 会 得 到 答案 。 


前 几 章 的 学 习 ， 相 信 大 家 已 经 知道 ，Objective-C 代 码 在 经 过 编译 后 形成 机 器 码 ， 它 们 由 设备 的 CPU 直接 执行 。 别 说 编写 ， 阅 


着 成 为 逆向 工程 师 的 天 赋 ; 如 果 你 在 哺 骨 头 的 时 候 牙 被 月 掉 了 ， 或 许 AppStore 


6.1 ARM 汇编 基础 


对 于 很 多 iOS 开 发 者 来 说 ，ARM 汇 编 是 一 门 全 新 的 语言 ， 如 果 你 是 计算 机 专业 科班 出 身 ， 应 该 已 经 对 汇编 语言 有 了 初步 的 印象 ， 只 是 对 于 
在 我 们 心里 埋 下 了 恐惧 的 种 子 ， 仿 佛 一 提 到 汇编 语言 ， 它 就 会 像 紧 禾 完 一 样 勒 紧 我 们 的 头 ， 让 我 们 疼痛 不 已 。 汇 编 语言 真 的 有 这 么 难 ? E, 


跟 英语 一 样 ， 熟 能 生 巧 。 


发 才 是 你 更 好 的 归宿 … 


桥 ， 它 的 可 读 性 虽然 远 不 如 Objective-C， 但 比 机 器 码 要 强 多 了 一 一 如 果 你 能 够 路 下 这 块 硬骨头 ， 那 么 恭喜 你 ， 你 有 


很 多 人 来 说 ， 大 学 期 间 的 汇编 语言 课 简直 跟 天 书 一 样 深 奥 ， 它 
WCRE AGL; 但 另 一 方面 ， 


毕竟 它 只 是 一 门 语言 ， 


我 们 一 般 的 工作 中 与 汇编 打交道 的 机 会 并 不 多 ， 如 果 不 刻意 练习 ， 陡 然 面 对 时 必然 掌握 不 了 ， 所 以 会 觉得 它 很 难 。 不 过 归根 到 底 还 是 投入 的 时 间 和 精力 是 否 足够 的 问题 一 好 了 ，iOSs 逆 向 工程 给 学 习 
ARM 汇 编 提 供 了 一 个 绝 佳 的 条 件 一 一 在 逆向 一 个 功能 时 ， 往 往 需要 分 析 大 量 ARM 汇 编 代码 ， 并 把 它们 翻译 成 高 级 语言 ， 试 图 重新 实现 这 个 功能 ; 虽然 暂时 还 不 需要 写 汇编 代码 ， 但 大 量 的 阅读 必然 能 加 深 


我 们 对 这 门 语言 的 理解 。 如 果 想 在 iOS 逆 向 工程 这 条 路 上 走 下 去 ，ARM 汇 编 是 必 : 
们 的 变种 相当 于 单词 的 各 种 形态 ; 调用 规则 相当 于 语法 ， 定 义 句子 之 间 的 联系 。 


6.1.1 基本 概念 


如 果 要 完整 地 介绍 ARM 汇 编 ，ARM 公 司 的 上 


1 寄存器、 内 存 和 栈 


在 高 级 语言 ， 如 Objective-C、C 和 C++ 里 ， 操 作对 象 是 变量 ; 


户 手册 已 经 做 得 足够 好 了 。 笔 者 对 ARM 汇 编 也 只 是 略 知 一 二 ， 
好 。 随 着 iPhone 5s 的 推出 ， 苹 果 引入 了 性 能 强大 的 64 位 处 理 器 ， 但 本 书 前 半 部 分 介绍 的 大 多 数 工 


在 ARM 汇 编 里 ， 操 作对 象 是 寄存 器 (register) 、 内 存 和 栈 (stack) . F 


须 掌握 的 语言 ， 也 是 一 定 能 够 掌握 的 语言 跟 英语 类 似 ，ARM 汇 编 的 基本 概念 相当 于 26 个 字母 和 音标 ; 


接 下 来 ， 让 我 们 一 步 步 地 深入 。 


旨 令 相 当 于 单词 ， 它 


me 
AES 


对 64 位 处 理 器 的 支持 都 不 太 好 ， 因 此 后 半 部 分 的 内 容 仍 以 32 位 处 理 器 为 准 ， 但 思路 是 通 


户 手册 那么 全 面 ， 但 对 于 iOs 逆 向 工程 初学 者 来 说 ， 这 些 知 识 足以 应 对 ， 适 度 就 


的 。 


限 的 ， 当 需要 更 


图 6-1 所 示 。 


栈 其 实 也 是 一 片 内 存 区 域 ， 但 它 具 有 栈 的 特点 : 先进 后 出 。ARM 的 栈 是 满 递 减 (Full Descending) 的 ， 向 下 增长 ， 也 就 是 开 


变量 时 ， 就 可 以 把 它们 存放 在 内 存 中 ; 不 过 ， 数 量 上 去 了 ， 质 量 也 下 来 了 ， 对 内 存 的 操作 比 对 寄存 器 的 操作 要 慢 得 多 。 


中 ， 寡 存 器 可 以 看 成 CPU 


它们 的 数量 一 般 是 很 有 


带 的 变量 ， 


口 朝 下 ， 新 的 变量 被 存放 到 栈 底 的 位 置 ; 越 靠近 栈 底 ， 内 存 地 址 越 小 ， 如 


Address 


SP+ 16 


SP +12 


SP + 8 


SP+4 


SP Bottom 


Objetcts 


图 6-1 ARM 的 栈 


一 个 名 为 “stack pointer” (简称 SP) 的 寄存 器 保存 栈 的 栈 底 地 址 ， 称 为 栈 地 址 ; 可 以 把 一 个 变量 给 入 (push) 栈 以 保存 它 的 值 ， 也 可 以 让 它 出 (pop) 栈 ， 恢 复 变 量 的 原始 值 。 在 实际 操作 中 ， 栈 地 
址 会 不 断 变化 ; 但 是 在 执行 一 块 代码 的 前 后 ， 栈 地 址 应 该 是 不 变 的 ， 不 然 程序 就 要 出 问题 了 。 为 什么 ?举例 说 明 如 下 : 


static int global var0; 
static int global varl; 


void foo (void) 


bar(); 
// 其 他 操作 ; 


在 上 面 4 行 代码 中 ， 假 设 函数 foo(0 用 到 了 A、B、C、D 四 个 寄存 器 ; foo(0) 内 部 调用 了 bar0， 假 设 bar0 用 到 了 A、B、C 三 个 寄存 器 。 因 为 2 个 不 同 的 函数 用 到 了 3 个 相同 的 寄存 器 ， 所 以 bar0 在 开始 执行 前 
需要 将 3 个 寄存 器 中 原来 的 值 入 栈 以 保存 其 原始 值 ， 在 结束 执行 前 将 它们 出 栈 以 恢复 其 原始 值 ， 保 证 foo() 能 够 正常 执行 。 用 伪 汇 编 代 码 表示 如 下 : 


// Ғоо() 
foo: 
// 将 RAR、B、C、D 入 栈 ， 保 存 它们 的 原始 值 
AB (A, B, C, D} 
// 使 用 A ~ D 
移动 А, #1 //A=1 
移动 в, #2 //B=2 
移动 C, #3 // 你 猜 猜 这 行 是 什么 意思 ? 
调用 bar 


移动 D, global var0 


// global varl =A+B+C+D 
相 加 А,В //А=А+В, HE ATE 
相 加 А, С // A = A +С, Ж 处 R 的 值 
相 加 A, D // 你 再 猜 猜 这 行 是 什么 意 Г 
移动 global varl, A 
// 将 R、B、C、D 出 栈 ， 恢 复 它们 的 原始 值 
出 栈 {A-D} 
返回 
// bar() 函 数 
bar: 
// 将 RAR、B、C 入 栈 ， 保 存 它们 的 原始 值 R = 1, В = 2, С = 3 
入 栈 {А-С} 
// 使 有 A ~ C au 
移动 А, #2 // 还 需要 注释 吗 ? 
移动 B, #5 
移动 CA 
由 加 C, В // c =7 
// global var0 = A + B + C (= 2 * C) 
2m C: 
E global var0, "e //A=2,B=5,C=14 
六 ЕТА бшк пу? 
出 栈 {А-С} 
返回 


简单 解释 一 下 这 段 伪 代 码 : foo() 先 将 A、B、C 分 别 设置 为 1{、2、3， 然 后 调用 bar()，bar0 改 变 了 A、B、C 的 值 ， 并 将 全 局 变量 global_var0 的 值 设置 为 ABC 三 者 之 和 。 如 果 把 此 时 的 A、B、C 直 接 用 于 


foo()， 计 算出 的 男 一 个 全 局 变量 global_var1 的 值 就 是 错 的 ， 因 此 在 bar() 执 行 前 先 要 让 A、B、C 入 栈 ， 保 存 它 们 的 值 ， 执 行 完成 后 再 出 栈 ， 使 得 foo() 能 够 得 到 正确 的 global_var1。 注 意 一 点 ， 出 于 同样 的 目 
的 ，foo() 在 执行 前 后 也 对 A、B、C、D 执 行 了 入 栈 和 出 栈 操 作 ， 所 以 foo() 的 调用 者 也 能 够 正常 工作 。 


2 特殊 用 途 的 寄存 器 


ARM 处 理 器 中 的 部 分 寄存 器 有 特殊 用 途 ， 如 下 所 示 : 


RO-R3 传递 参数 与 返回 值 

R7 帧 指针 ， 指 向 母 函 数 与 被 调用 子 函数 在 栈 中 的 交界 
R9 fEioS 3.0 以 前 被 系统 保留 

R12 内 部 过 程 调用 寄存 器 ， Mie linker 会 用 到 它 
R13 SP 寄存 器 

R14 LR 寄存 器 ， 保 存 函数 返回 地 址 

R15 PC 寄存 器 


因为 现在 还 没有 开始 自己 写 汇编 代码 ， 所 以 对 上 述 知识 有 简单 了 解 就 足够 了 。 


3 .分支 跳 转 与 条 件 判断 


处 理 器 中 名 为 “program counter" (简称 PC) 的 寄存 器 用 于 存放 下 一 条 指令 的 地 址 。 一 般 情 况 下 ， 计 算 机 一 条 接 一 条 地 顺序 执行 指令 ， 处 理 器 执行 完 一 条 指令 后 将 PC 加 1， 让 它 指 向 下 一 条 指令 ， 如 
司 6-2 所 示 。 


处 理 器 顺序 执行 指令 1 到 指令 5， 稀 松平 常 、 沉 闽 无 聊 。 但 是 如 果 把 PC 的 值 变 一 变 ， 指 令 的 执行 顺序 就 完全 不 同 了 ， 如 图 6-3 所 示 。 


指令 的 执行 顺序 被 打 乱 ， 变 成 指令 1、 指 令 5、 指 令 4、 指 令 2、 指 令 3、 指 令 6， 光 怪 陆 离 、 百 花 齐 放 。 这 种 “ 乱 序 ”的 学 名 叫 “ 分 支 ” (branch) ， 或 者 “ 跳 转 ” (jump) ， 它 使 循环 和 subroutine 成 
为 可 能 ,例如 : 


// endless () 函数 
endless: 
操作 操作 数 1， 操 作 数 2 
分 支 endless 
返回 // 死 循 环 ， 执 行 不 到 这 里 啦 ! 


在 实际 情况 中 ， 满 足 一 定 条 件 才 得 以 触发 的 分 支 是 最 实用 的 ， 这 种 分 支 称 为 条 件 分 支 。if else 和 while 都 是 基于 条 件 分 支 实现 的 。 在 ARM 汇 编 中 ， 分 支 的 条 件 一 般 有 4 种 : 
“ 操作 结果 为 0 (ARAO) ; 

“ 操作 结果 为 负数 ; 

“ 操作 结果 有 进位 ; 


“ 运算 溢出 〈 比 如 两 个 正 数 相 加 得 到 的 数 超过 了 寄存 器 位 数 ) 。 
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图 6-3” 乱 序 执行 指令 


这 些 条 件 的 判断 准则 (flag) 存放 在 程序 状态 寄存 器 (Program Status Register, PSR) 中 ， 数 据 处 理 相关 指令 会 改变 这 些 flag， 分 支 指令 再 根据 这 些 flag 决 定 是 否 跳 转 。 下 面 的 伪 代 码 展示 了 一 个 for 
循环 : 


for: 
相 加 А, #1 
比较 А, #16 
不 为 0 则 跳 转 到 for 


此 循环 将 A 和 #16 作 比较 ， 如 果 两 者 不 相等 ， 则 将 A 加 1， 继 续 比较 。 如 果 两 者 相等 ， 则 不 再 循环 ， 继 续 往 下 执行 。 


6.1.2 АКМ/ТНОМВ < 


ARM 处 理 器 用 到 的 指令 集 分 为 ARM 和 THUMB 两 种 ; ARM 指 令 长 度 均 为 32bit，THUMB 指 令 长 度 均 为 16bit。 所 有 指令 可 大 致 分 为 3 类 ,分别 是 数据 操作 指令 、 内 存 操作 指令 和 分 支 指令 。 


1 数据 操作 指令 


数据 操作 指令 有 以 下 2 条 规则 : 


Т) 所 有 操作 数 均 为 32bit; 


2) 所 有 结果 均 为 32bit， 且 只 能 存放 在 寄存 器 中 。 


总 的 来 说， 数据 操作 指令 的 基本 格式 是 : 


op{cond}{s} Rd, Rn, Ор2 


其 中 ，“cond″ 和 “S$” 是 两 个 可 选 后 缀 ; “cond” 的 作用 是 指定 指令 “op” 在 什么 条 件 下 执行 ， 共 有 下 面 17 种 条 件 : 


FQ 结果 为 0 (EQual to 0) 


NE 结果 不 为 0 (Not Equal to 0) 

cs 有 进位 或 借 位 (Carry Set) 

HS СЗ (unsigned Higher or Same) 

CC 没有 进位 或 借 位 (Carry clear) 

LO 同 CC Cunsigned LOwer) 

MI 结果 小 于 0 (MInus) 

PL 结果 大 于 等 于 0 (PLus) 

VS 溢出 CoVerflow Set) 

VC 无 溢出 (oVerflow Clear) 

HI 无 符号 比较 大 于 (unsigned HIgher) 

15 无 符号 比较 小 于 等 于 (unsigned Lower or Same) 
GE 有 符号 比较 大 于 等 于 (signed Greater than or Equal) 
LT 有 符号 比较 小 于 (signed Less Than) 

GT 有 符号 比较 大 于 (signed Greater Than) 

IE 无 符号 比较 小 于 等 于 (signed Less than or Equal) 


AL 无 条 件 (ALways， 默 认 ) 


“cond” 的 用 法 很 简单 ， 例 如 : 


比较 RO, RL 
移动 GE R2, RO 
移动 LT R2, Rl 


比较 RO 和 R1 的 值 ， 如 果 R0O 大 于 等 于 R1， 则 R2=R0;， 否则 R2=R1。 


“s” 的 作用 是 指定 指令 “op 


”是 否 设 置 flag， 共 有 下 面 4 种 flag: 


N (Negative) 

如 果 结 果 小 于 0 则 置 1， 否 则 置 0; 
2 (Zero) 

如 果 结果 是 0 则 置 1， 和 否则 置 0; 
С (Саггу) 


对 于 加 操作 《〈 包 括 CMN) 来 说 ， 如 果 产 生 进位 则 置 1， 否 则 置 0， 对 于 减 操作 〈 包 括 CMP) 来 说 ，Carry 相 当 于 Not-Borrow， 如 果 产 生 借 位 则 置 0， 否 则 置 1， 对 于 有 移 位 操作 的 非 加 / 减 操作 来 说 ，C 置 移出 值 的 最 后 一 位 ， 对 于 其 他 的 


V (oVerflow) 


如 果 操 作 导 致 溢出 ， 则 置 1， 和 否则 置 0。 


需要 注意 一 点 ，C flag 表 示 无 符号 数 运算 结果 是 否 溢出 ，V flag 表 示 有 符号 数 运算 结果 是 否 溢出 。 


数据 操作 指令 可 以 大 致 分 为 以 下 4 类 : 


“ 算术 操作 


ADD RO, R1, R2 
ADC RO, R1, R2 
SUB RO, Rl, R2 
SBC RO, R1, R2 
RSB RO, R1, R2 
RSC RO, R1, R2 


RO = R1 + R2 

RO = R1 + R2 + C(arry) 
RO = R1 - R2 

RO = ВІ - В — IC 

RO = R2 - R1 

RO = R2 - R1 - !C 


算术 操作 中 ，ADD 和 SUB 为 基础 操作 ， 其 他 均 为 两 者 的 变种 。RSB 是 “Reverse SuB” 的 缩写 ， 仅 仅 是 把 SUB 的 两 个 操作 数 调换 了 位 置 而 已 ; 以 “C” 


法 ， 当 产生 进位 或 没有 借 位 时 ， 将 Carry flag 置 1。 


“ 逻辑 操作 


( 即 Carry) 结尾 的 变种 代表 有 进位 和 借 位 的 加 减 


AND RO, R1, R2 


& R2 


ORR RO, R1, R2 ; | R2 

EOR RO, R1, R2 ; ^ R2 

BIC R0, R1, R2 ; &~ R2 

MOV RO, R2 i 

MVN RO, R2 ; 

逻辑 操作 指令 没什么 多 说 的 ， 它 们 的 作用 都 已 经 用 C 操 作 符 表示 出 来 了 ， 大 家 应 该 很 熟悉 ; 但 是 操作 符 里 的 移 位 操作 并 没有 对 应 的 逻辑 操作 指令 ， 因 为 ARM 采 用 了 桶 式 移 位 ， 共 有 以 下 4 种 指令 : 
LSL 逻辑 左 移 ， 见 图 6-4 


ч ----------------------- 


LSR 逻辑 右 移 ， 见 图 6-5 


图 6-4 


HAS 


0 ---> 


——Ñ >} 


图 6-5 


RHEB 


ASR 算术 右 移 ， 见 图 6-6 


ROR 循环 右 移 ， 见 图 6-7 


图 6-6 Жжжж 


图 6-7 循环 右 移 


- 比较 操作 
CMP R1, R2 ; PUTRI - R2 并 依 结果 设置 flag 
CMN R1, R2 ; 执行 RI + R2 并 依 结果 设置 flag 
TST R1, R2 ;执行 RI а R2 并 依 结果 设置 flag 
ТЕО R1, R2 ;执行 RI ^ R2 并 依 结果 设置 Elag 


比较 操作 其 实 就 是 改变 flag 的 算术 操作 或 逻辑 操作 ， 只 是 操作 结果 不 保留 在 寄存 器 里 而 已 。 


乘法 操作 


MUL R4, R3, R2 
МГА R4, ВЗ, R2, Rl 


; R4 
; R4 


ВЗ * R2 


R3 * К + Rl 


乘法 操作 的 操作 数 必须 来 自 寄 存 器 。 


2. 内 存 操作 指令 


内 存 操作 指令 的 基本 格式 是 : 


op{cond}{type} Rd, [Rn,?Op2] 


其 中 Rn 是 基 址 寄存 器 ， 


于 存放 基地 址 ; 


“cond” 的 作用 与 数据 操作 指令 相同 ; “type” 指 定 指令 “op” 操 作 的 数据 类 型 ， 共 有 4 种 : 


B Cunsigned Byte) 


无 符号 byte 人 32bit， 以 0 填充 ) ; 


SB (signed Byte) 


有 符号 byte CUR ros, 执行 时 扩展 到 32bit， 
以 0 填充 ); 
As 执行 时 扩展 到 32bit， 


H Cunsigned Halfword 


无 符号 halfword ОЛТУ 


SH (Signed Halfword) 


有 符号 halfword ( 仅 用 于 LDR 指 
FE) 。 


以 符号 位 填充 ) ; 


以 符号 位 填 


如 果 不 指定 “type” ， 则 默认 数据 类 型 是 word。 


ARM 内 存 操作 基础 指令 只 有 两 个 : LDR (LoaD Register) 将 数据 从 内 存 中 读 出 来 ， 存 到 寄存 器 中 ; STR (STore Register) 将 数据 从 寄存 器 中 读 出 来 ， 存 到 内 存 中 。 两 个 指令 的 使 用 情况 如 下 : 
: LDR 

LDR Rt, [Rn {, #offset}] ; Rt = *(Rn {+ offset})，{} 代 表 可 选 

LDR Rt, [Rn, #offset]! ; Rt = *(Rn + offset); Rn = Rn + offset 

LDR Rt, [Rn], #offset ; Rt = *Rn; Rn = Rn + offset 

- STR 

STR Rt, [Rn {, #offset}] ; *(Rn {+ offset}) = Rt 

STR Rt, [Rn, #offset]! ; *(Rn {+ offset}) = Rt; Rn = Rn + offset 

STR Rt, [Rn], #offset ; *Rn = Rt; Rn = Rn + offset 


此 外 ，LDR 和 STR 的 变种 LDRD 和 STRD 还 可 以 操作 双 字 (Doubleword) ， 即 一 次 性 操作 2 个 寄存 器 ， 其 基本 格式 如 下 : 


ор{сопа} Rt, Rt2, [Rn (, #offset)] 


其 用 法 与 原型 类 似 ， 如 下 : 


STRD R4, R5, [R9,#offset] ; *(R9 + offset) = R4; *(R9 + offset + 4) = R5 
LDRD 
LDRD R4, R5, [R9,#offset] ; R4 = *(R9 + offset); R5 = *(R9 + offset + 4) 


除了 LDR 和 STR 外 ， 还 可 以 通过 LDM (LoaD Multiple) 和 STM (STore Multiple) 进行 块 传输 ， 一 次 性 操作 多 个 寄存 器 。 块 传输 指令 的 基本 格式 是 : 


op{cond} {mode} Rd{!}, reglist 


其 中 Rd 是 基 址 寄存 器 ， 可 选 的 “!” 指定 Rd 变化 后 的 值 是 否 写 回 Rd; reglist 是 一 系列 寄存 器 ， 用 大 括号 括 起 来 ， 它 们 之 间 可 以 用 “” 分 隔 ， 也 可 以 用 “-” 表 示 一 个 范围 ， 比 如 ，{R4-R6,R8} 表 示 寄 存 器 
R4. R5, Аб, R8; 这 些 寄存 器 的 顺序 是 按照 自身 的 编号 由 小 到 大 排列 的 ， 与 大 括号 内 的 排列 顺序 无 关 。 


需要 特别 注意 的 是 ，LDM 和 STM 的 操作 方向 与 LDR 和 STR 完全 相反 : LDM 是 把 从 Rd 开始 ， 地 址 连续 的 内 存 数据 存 入 reglist 中 ，STM 是 把 reglist 中 的 值 存 入 从 Rd 开始 ， 地 址 连续 的 内 存 中 。 此 处 特别 容易 
混 湛 ， 大 家 一 定 要 注意 ! 


“cond” 的 作用 与 数据 操作 指令 相同 。 “mode” 指 定 Rd 值 的 4 种 变化 规律 ， 如 下 所 示 : 


IA (Increment After) 
每 次 传输 后 增加 Rao 的 值 ; 
IB (Increment Before) 
每 次 传输 前 增加 Rd 的 值 ; 
DA (Decrement After) 
每 次 传输 后 减少 Rd 的 值 ; 
DB (Decrement Before) 


每 次 传输 前 减少 Rd 的 值 。 


这 是 什么 意思 呢 ? 下 面 以 LDM 为 代表 ， 举 一 个 简单 的 例子 ， 相 信 大 家 一 看 就 明白 了 。 在 图 6-8 中 ，R0 指 向 的 值 是 5。 


6-8 块 传输 指令 模拟 环境 


执行 以 下 命令 后 ，R4、R5、R6 的 值 分 别 变 成 : 


foo(): 


LDMIA RO, {R4 - R6} ; ВА = 5, RS = 6, Кб = 7 
LDMIB RO, {R4 - R6} ; ВА = 6, RS = 7, R6 = 8 
LDMDA RO, {R4 - R6} ; ВА = 5, R5 = 4, R6 = 3 
LDMDB RO, {R4 - R6} ; R4 = 4, R5 = 3, R6 = 2 


STMiRSBS/EFRISSUSIEZS(, ЛАК, FREER, LDMSISTMBSHREZSIBHSLDRRISTRzESHBI, Wicwic! 


3 .分支 指令 


分 支 指令 可 以 分 为 无 条 件 分 支 和 条 件 分 支 两 种 。 


CETTE 
B Label ; PC = Label 
BL Label ; LR = PC - 4; PC = Label 
BX Rd ; PC = Rd 并 切换 指令 集 


无 条 件 分 支 很 简单 ， 举 下 面 一 个 小 例子 就 会 了 解 : 


foo () 
B Label ; 跳 转 到 Label 处 往 下 执行 
http: //www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/. .http: //www.hzcourse.com/resource/readBook?path-/openresources/ 
Label 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/. .http: //www.hzcourse.com/resource/readBook?path=/openresources/ 
dH ak 


条 件 分 支 的 cond 是 依照 6.2.1 节 提 到 的 4 种 flag 来 判断 的 ， 它 们 的 对 应 关系 如 下 : 
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在 条 件 分 支 指令 前 会 有 一 条 数据 操作 指令 来 设置 flag， 分 支 指令 根据 flag 的 值 来 决定 代码 走向 ， 举 例如 下 : 


Label: 


LDR RO, [R1], #4 
CMP RO, 0 ; ШКО == 0, Z = 1; 否则 2 = 0 
BNE Label ; 2 == 0 则 跳 转 

4.THUMB 指 令 


THUMB 指 令 集 是 ARM 指 令 集 的 一 个 子 集 ， 每 条 THUMB 指 令 均 为 16bit; 因此 THUMB 指 令 比 ARM 指 令 更 节省 空间 ， 且 在 16 位 数据 总 线 上 的 传输 效率 更 高 。 有 得 必 有 失 ， 除 了 “b” 之 外 ， 所 有 THUMB 
指令 均 无 法 条 件 执行 ; 桶 式 移 位 无 法 结合 其 他 指令 执行 ; 大 多 数 THUMB 指 令 只 能 使 用 R0~R7 这 8 个 寄存 器 等 。 相 对 于 ARM 指 令 ，THUMB 指 令 的 特点 如 下 : 


既然 THUMB 只 是 一 个 子 集 ， 指 令 数 量 必然 会 减少 。 例 如 ， 乘 法 指令 中 只 有 MUL 保 留 了 下 来 ， 其 他 的 都 被 精简 了 。 


-没有 条 件 执行 


除 分 支 指令 外 ， 其 他 指令 无 法 条 件 执行 。 


“ 所 有 指令 默认 附带 “s” 
即 所 有 THUMB 指 令 都 会 设置 flag。 


` 桶 式 移 位 无 法 结合 其 他 指令 执行 


移 位 指令 只 能 单独 执行 ， 无 法 与 其 他 指令 结合 执行 。 即 ， 可 以 : 


151 RO #2 


而 不 可 : 


ADD RO, R1, LSL #2 


“ 寄存 器 使 用 受 限 


除非 显 式 声明 ， 否 则 THUMB 指 令 只 能 使 用 R0~ R7 寄 存 器 ; 但 也 有 例外 : ADD、MOV 和 CMP 指 令 可 以 将 R8~R15 作 为 操作 数 使 用 ;，LDR 和 STR 可 以 使 用 PC 或 SP 寄存 器 ; PUSH 可 以 使 用 LR，POP 可 以 使 


PC; BX 可 以 使 用 所 有 寄存 器 。 


+ 立即 数 和 第 二 操作 数 使 用 受 限 


大 多 数 THUMB 数 据 操作 指令 的 形式 是 “op Rd,Rm”， 只 有 移 位 指令 、ADD、SUB、MOV 和 CMP 是 例外 。 


. 不 支持 数据 写 回 


除了 LDMIA 和 STMIA 外 ， 其 他 THUMB 指 令 均 不 支持 数据 写 回 ， 即 “!” 不 可 用 。 


我 们 在 iOS 逆 向 工程 初级 阶段 经 常会 碰 到 以 上 指令 ， 如 果 对 前 两 节 的 内 容 还 是 一 知 半 解 ， 没 关系 ， 自 己 动手 分 析 两 个 程序 就 熟悉 了 。 这 一 节 的 内 容 只 是 一 个 引子 ， 在 实际 操作 中 如 果 对 指令 作用 不 清 
楚 ，ARM 的 官方 文档 http://infocenter.arm.com 永 远 是 最 好 的 教科 书 ，http://bbs.iosre.com 上 的 讨论 也 很 有 参考 价值 。 


6.1.3 ”ARM 调用 规则 


了 解 了 常用 的 ARM 指 令 后 ， 相 信 大 家 已 经 能 够 基本 读 懂 一 个 函数 的 汇编 代码 了 。 当 一 个 函数 调用 另 一 个 函数 时 ， 


1. 前 言 与 后 记 


тава 


FP ттс: 


要 传递 参数 和 返回 值 ; 如 何 传递 这 些 数 


居 ， 称 为 ARM 汇 编 的 调 有 


在 6.1.1 节 提 到 ，“ 在 执行 一 块 代码 时 ， 其 前 后 栈 地 址 应 该 是 不 变 的 ”， 这 个 操作 是 通过 被 执行 代码 块 的 前 言 (prologs) 和 后 记 (epilogs) 完成 的 。 前 言 所 做 的 工作 主要 有 : 


:将 LR 入 栈 ; 


CERTA S 


< R7=SP; 


:将 需要 保留 的 寄存 器 原始 值 入 栈 ; 


:为 本 地 变量 开辟 空间 。 


后 记 所 做 的 主要 工作 跟前 言 正好 相反 : 


+ 释放 本 地 变量 占用 的 空间 ; 


:将 需要 保留 的 寄存 器 原始 值 出 栈 ; 


:将 R7 出 栈 ; 


- 将 LR 出 栈 ，PC=LR。 


规则 。 


前 言 和 后 记 中 的 这 些 工 作 并 不 是 必须 的 ， 如 果 这 块 代码 压根 儿 就 没有 用 到 栈 ， 就 不 需要 “保留 寄存 器 原始 值 ”这 一 步 了 。 在 逆向 工程 中 ， 前 言 与 后 记 的 影响 主要 体现 在 SP 的 变化 上 ， 此 处 稍 作 了 解 即 
可 ， 第 10 章 的 例子 中 会 有 详细 的 解答 。 


2 .传递 参数 与 返回 值 


如 果 想 详细 了 解 参数 传递 规则 ， 可 以 通读 http://infocenter.arm.com/help/topic/com.arm.doc.ihi0042e/IHI0042E_aapcs.pdf。 一 般 情况 下 ， 记 住 最 重要 的 一 个 金 句 就 好 : 


“函数 的 前 4 个 参数 存放 在 RO 到 R3 中 ， 其 他 参数 存放 在 栈 中 ; ik 


回 


值 放 在 RO 中 。” 


这 句 话 的 意思 很 好 理解 ， 为 了 加 深 印 象 ， 下 面 看 一 个 例子 : 


// clang -arch armv7 -isysroot `xcrun --sdk iphoneos --show- 
sdk-path` -o MainBinary main.m 

#include <stdio.h> 

int main(int argc, char **argv) 


printf("$d, %d, sd, %d, $d", 1, 2, 3, 4, 5); 
return 6; 


把 这 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 里 的 那 句 话 编译 它 ， 然 后 把 MainBinary 拖 进 IDA， 生 成 的 main 汇 编 代码 如 图 6-9 所 示 。 


“BLX_printf” 执 行 printf 函 数 ， 它 的 6 个 参数 分 别 存放 在 RO、R1、R2、R3、[SP,#0x20+var_20] 和 [SP,#0x20+var_1C] 中 ， 返 回 值 存放 在 RO 里 ， 其 中 var_20=-0x20，var_1C=-0x1C， 因 此 栈 上 的 ?个 
参数 分 别 位 于 [SP] 和 [SP,#Ox4]。 


还 需要 更 多 解释 吗 ? 


“函数 的 前 4 个 参数 存放 在 RO0 到 R3 中 ， 其 他 参数 存放 在 栈 中 ; 返回 值 放 在 RO 中 。“ 


一 定 要 牢记 上 面 这 句 话 ! 


本 节 只 是 把 iOSs 逆 向 工程 用 到 的 最 基本 的 ARM 汇 编 知识 过 了 一 遍 ， 难 免 有 遗漏 ， 但 说 白 了 ， 只 要 记 住 刚才 的 “ 金 句 ”， 配 合 ARM 官 方 网 站 ， 就 已 经 可 以 开始 分 析 程序 了 。 接 下 来 ， 就 来 实际 动手 ， 看 看 
如 何 把 刚刚 学 到 的 知识 运用 到 iOSs 逆 向 工程 中 。 


const char **argv, const char **envp) 


(R4,R5,R7,LR) 
SP, #8 
SP, #0х18 


#(aDDDDD - OxBF6A) 
td, %d, 


РС ; 

#1 

#2 
R12, #3 

#4 

#5 

#0 

[SP, #0x20+var_C] 

[SP, #0x20+var 10] 

[SP, #0x20+var 14] 

R2 ; Char * 

R3 

R9 

R12 

[SP, #0x20+var 20] 

[SP, #0x20+var_1C] 


[SP, #0x20+var 18] 

R1 

SP, #0x18 
{R4,R5,R7,PC} 


End of function main 


. text ends 


6.2 ”tweak 的 编写 套路 


6-9 ”main 的 汇编 代码 


"sd, %d, 


$a" 


td, td, за" 


在 第 5 章 的 “tweak 的 编写 套路 ”一 节 里 ， 归 纳 总 结 了 5 个 步骤 ,分 别 是 寻找 灵感 、 定 位 目标 文件 、 定 位 目标 函数 、 测 试 函数 功能 ， 以 及 解析 函数 参数 。 这 些 步骤 没 问题 ,但 “定位 目标 函数 ”这 个 关键 
环节 的 水 分 太 大 一 一 在 class-dump 的 头 文件 里 搜索 自己 感 兴趣 的 关键 词 ， 可 以 称 为 “定位 目标 函数 ” 吗 ? 非 也 。 


一 般 情况 下 ， 一 个 软件 之 所 以 能 引起 我 们 的 兴趣 ， 无 非 是 2 个 元 素 : 功能 和 数据 。 如 果 发 现 了 自己 感 兴趣 的 功能 ,但 class-dump 的 头 文件 里 找 不 到 可 疑 的 关键 词 ， 怎 么 办 ? 如 果 看 到 了 自己 感 兴趣 的 数 
据 ， 我 们 该 怎么 去 寻找 它 的 生成 算法 ?对 此 ，class-dump 一 点 弧 都 没有 。 因 此 ， 通 过 class-dump 及 关键 词 搜索 的 方式 只 是 “定位 目标 函数 ”中 的 一 种 情况 ， 不 能 以 偏 概 全 。 那 么 针对 更 普遍 的 情况 ， 该 怎 


么 定位 目标 函数 呢 ? 


我 们 感 兴趣 的 功能 和 数据 ， 都 是 以 软件 中 产生 的 某 种 现象 为 形式 ， 直 观 地 呈现 在 我 们 面前 的 ， 我 们 能 看 到 、 感 受到 。 例 如 ， 图 6-10 所 示 的 是 | 


了 “编写 邮件 ”功能 ; 图 6-11 所 示 的 是 设置 应 用 中 的 电话 设置 (以 下 简称 MobilePhoneSettings) ， 第 一 个 cell 中 的 内 容 代表 了 “ 


说 ， 外 在 现象 的 内 在 本 质 ， 其 实 是 函数 。 所 以 ， 


SB" 0 


“定位 目标 函数 ”实际 上 是 如 何 从 我 们 感 兴趣 的 外 在 现象 ， 定 位 到 其 内 在 函数 的 过 程 。 


pg 件 应 用 (以 下 简称 Mail) ， 右 下 角 的 那个 书写 
居 。 功 能 是 由 函数 提供 的 ， 数 据 是 由 函数 生成 的 ， 
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图 6-11  MobilePhoneSettings 


面 对 这 样 的 需求 ，class-dump 明 显 已 经 不 够 用 了 。 好 在 我 们 现在 了 解 了 Cycript、IDA、LLDB 的 基本 用 法 ， 对 ARM 汇 编 也 有 了 初步 印象 ， 有 了 它们 的 辅助，“ 定 位 目标 函数 ” 变 得 有 规律 可 循 了 。iOS 
上 最 常见 的 是 一 个 个 App， 我 们 对 这 种 类 型 的 文件 也 最 熟悉 ， 把 它们 作为 初学 阶段 的 练习 对 象 再 合适 不 过 了 。 接 下 来 ， 就 以 App 为 目标 ， 用 ARM 汇 编 级 别 的 逆向 工程 完善 “定位 目标 函数 ”环节 ， 强 化 
tweak 的 编写 套路 。 


6.2.1 ”从 现象 切入 App， 找 出 UI 函 数 


对 于 App 来 说 ,我们 感 兴趣 的 现象 往往 体现 在 Ul 上 ，UI 展 示 了 函数 的 执行 过 程 和 结果 。 函 数 和 Ul 之 间 的 关联 非常 紧密 ， 如 果 能 拿 到 感 兴趣 的 UI 对 象 ， 就 可 以 找到 它 所 对 应 的 函数 ， 我 们 称 该 函数 为 UI 函 
数 。 这 个 过 程 ， 一 般 是 利用 Cycript， 结 合 UIView 中 的 神奇 私有 函数 recursiveDescription 和 UIResponder 中 的 nextResponder 来 实现 的 。 下 面 先 以 Mail 为 例 讲 解 过 程 ， 然 后 把 总 结 出 来 的 方法 用 在 
MobilePhoneSettings 上 加 深 印 象 。 这 部 分 内 容 是 在 iPhone 5, iOS 8.1 中 完成 的 。 


1. 用 Cycript 注 入 Mail 


先 用 dumpdecrypted 小 节 中 提 及 的 技巧 ， 定 位 Mail 的 进程 名 并 注入 ， 命 令 如 下 : 


FunMaker-5:~ root# ps -е | grep /Applications 


363 ?? 0:06.94 /Applications/MobileMail.app/MobileMail 
596 ?? 0:01.50 /Applications/MessagesNotificationViewService.app/MessagesNotificationViewService 
623 ?? 0:08.50 /Applications/InCallService.app/InCallService 


713 ttys000 0:00.01 grep /Applications 
FunMaker-5:~ root# cycript -p MobileMail 


2. 查 看 当前 界面 的 UI 层 次 结构 ， 定 位 “编写 邮件 ”按钮 


这 个 view 的 UI 层 次 结构 。 一 般 来 说 ， 当 前 界面 是 由 至 少 一 个 UIWindow 构 成 的 ， 而 UIWindow 继 承 自 UIView， 因 此 可 以 利用 这 个 私有 函数 来 查看 当 


UlView 中 的 私有 函数 recursiveDescription 可 以 返 
前 界面 的 UI 层次 结构 。 它 的 用 法 如 下 : 


回 


су# ?expand 
expand == true 


首先 执行 Cycript 的 ?expand 命 令 开启 expand 功 能 ，Cycript 会 把 格式 符号 翻译 成 相应 的 格式 ， 如 “\n” 会 被 翻译 成 一 个 换行 ， 让 输出 的 可 读 性 更 高 。 接 着 输入 如 下 命令 : 


cy# [[UIApp keyWindow] recursiveDescription] 


出 


UIApp 是 [UIApplication sharedApplication] 的 简写 ， 两 者 等 价 。 调 用 上 面 的 方法 即 可 打印 keyWindow 的 视图 结构 ， 输 出 类 似 下 面 的 信息 : 


@"<UIWindow: 0x14587a70; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x147166b0>; layer = <UIWindowLayer: 0x14587e30>> 
| <UIView: 0x146e6180; frame = (0 0; 320 568); autoresize = WHH; gestureRecognizers = «NSArray: 0x146e98d0>; layer = «CALayer: 0x146e61f0>> 
1 | <UIView: 0х146е5#60; frame = (0 0; 320 568); layer = <CALayer: 0х1460ес40>> 
| | <_MFActorItemView: 0х14506а30; frame = (0 0; 320 568); layer = <CALayer: 0х14506с10>> 


| 
| | | | <UIView: 0x145074b0; frame = (-0.5 -0.5; 321 569); alpha = 0; layer = <CALayer: 0x14507520>> 
I | I | < MFActorSnapshotView: 0x14506f70; baseClass = UISnapshotView; frame = (0 0; 320 568); clipsToBounds = YES; hidden = YES; layer = <CALayer: 0x145071c0>> 


| «MFTiltedTabView: 0xl46elaf0; frame = (0 0; 320 568); userInteractionEnabled = NO; gestureRecognizers = <NSArray: 0x146f2dd0>; layer = <CALayer: 0x146e1d50>> 

| | <UIScrollView: 0x146bfa90; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x146e1e90»; layer = <CALayer: 0x146c8740»; contentOffset: (0, 0}; contentSize: 
| | < TabGradientView: 0x146e7010; frame = (-320 -508; 960 568); alpha = 0; userInteractionEnabled = NO; layer = <CAGradientLayer: 0x146e7d80>> 

| | <UIView: 0x146e29c0; frame = (-10000 568; 10320 10000); layer = <CALayer: 0x146e2a30>>" 


keyWindow 的 每 个 subview 及 二 级 subview 的 description 会 被 完整 展示 在 <.……> 里 ， 包 括 每 个 view 对 象 在 内 存 中 的 地 址 ， 以 及 它 的 坐标 、 尺 寸 等 基本 信息 。 其 中 ， 缩 进 的 多 少 体现 了 视图 间 的 关系 ， 
同一 缩 进 量 的 视图 是 平 级 的 ， 如 最 下 面 的 UlScrollView、_TabGradientView 及 UIView; 缩 进 少 的 视图 是 缩 进 多 的 视图 的 Superview， 如 UlScrollView、_TabGradientView 和 UIView 都 是 
MFTiltedTabView 的 subview。 通 过 Cycript 的 “#” 操 作 符 ， 就 可 以 拿 到 这 个 window 上 的 任意 view， 如 : 


Cy# tabView = #0x146elaf0 
#"<MFTiltedTabView: Ox146elaf0; frame = (0 0; 320 568); userInteractionEnabled = NO; gestureRecognizers = <NSArray: 0x146f2dd0>; layer = «CALayer: 0x146e1d50>>" 


当然 ， 也 可 以 通过 UIApplication 和 UIView 的 其 他 方法 ， 获 取 我 们 感 兴趣 的 其 他 view， 如 : 


Cy# [UIApp windows] 
@[#"<UIWindow: 0x14587a70; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x147166b0>; layer = <UIWindowLayer: 0x14587e30>>", #"<UITextEffectsWindow: 0х15850570; frame 


上 面 的 代码 可 以 拿 到 这 个 App 的 所 有 window; 


Cy# [#0x146elaf0 subviews] 

@[#"<UIScrollView: 0x146bfa90; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x146ele90>; layer = <CALayer: 0x146c8740>; contentOffset: (0, 0); contentSize: (320, 77.5 
Cy# [#0x146e29c0 superview] 

#"<MFTiltedTabView: 0x146elaf0; frame = (0 0; 320 568); userInteractionEnabled = NO; gestureRecognizers = «NSArray: 0x146f2dd0>; layer = «CALayer: 0x146e1d50>>" 


上 面 的 代码 可 以 拿 到 subview 和 superview。 总 之 ， 综 合 利用 这 几 个 函数 ， 就 可 以 拿 到 UI 上 的 任意 view， 为 下 一 步 操 作 莫 定 基础 。 


定位 “编写 邮件 ”按钮 ， 就 要 寻找 与 这 个 按钮 相关 的 控件 。 对 此 ， 一 般 采 用 的 方法 是 排查 法 ， 对 于 形 如 <UIView: viewAddress;.…> 的 view 来 说 ， 对 其 逐个 调用 [#viewAddress setHidden:YES] 函 
数 ，UI 上 消失 的 那个 控件 就 可 以 跟 它 对 应 起 来 。 当 然 ， 一 些小 技巧 可 以 加 快 排查 的 速度 一 一 因为 这 个 按钮 的 左边 是 上 下 两 排 字 ， 所 以 可 以 猜测 ， 这 个 按钮 跟 两 排 字 是 共用 一 个 superview 的 ， 如 果 找 到 这 个 
superview， 那 么 只 排查 这 个 superview 的 subview 就 好 了 ， 减 少 了 工作 量 。 因 为 文字 一 般 是 会 出 现在 description 里 的 ， 所 以 可 在 recursiveDescription 里 搜索 “3 Unsent Messages”， 如 下 : 


DH 


| | I | | | I | <MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); opaque = NO; autoresize = W+H; layer = <CALayer: 0х146с8840>> 
| | | | | | | | | <UILabel: 0x14609610; frame = (40 21.5; 102 13.5); text = '3 Unsent Messages'; opaque = NO; userInteractionEnabled = NO; layer = <_ 


从 而 获取 到 它 的 superview， 即 MailStatusUpdateView。 如 果 按 钮 是 MailstatusUpdateView 的 一 个 subview， 那 么 通过 调用 setHidden: 函 数 隐 藏 MailSstatusUpdateView， 按 钮 也 会 被 隐藏 。 下 面试 
试看 : 


执行 之 后 ， 发 现 两 排 字 被 隐藏 了 ， 而 按钮 没有 被 隐藏 ， 如 图 6-12 所 示 。 
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图 6-12 ”两 排 字 被 隐藏 


这 说 明 MailStatusUpdateView 的 级 别 低 于 或 者 等 于 按钮 所 在 的 view， 对 吧 ? 
MailStatusBarView， 如 下 : 


PH 


此 ， 接 下 来 要 做 的 就 是 排查 Mailstatus UpdateView 的 superview。 从 recursiveDescription 可 知 ， 它 的 superview 是 


| | I | | | | <MailStatusBarView: 0х146с4110; frame = (69 0; 182 44); opaque = NO; autoresize = BM; layer = <CALayer: 0x146f9f90>> 
| | | | | | | | <MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); opaque = NO; autoresize = W+H; layer = <CALayer: 0x146c8840>> 


试 着 隐藏 它 ， 看 看 按钮 受 不 受 影响 ， 如 下 : 


су# [#0x146e6060 setHidden:NO] 
су# [#0х146с4110 setHidden:YES] 


效果 跟 刚才 一 样 ， 两 排 字 被 隐藏 ， 按 钮 还 是 没有 被 隐藏 ， 说 明 MailStatusBarView 的 级 别 仍然 不 够 高 ， 继 续 找 它 的 superview， 即 UIToolBar， 如 下 : 


| <UIToolbar: 0x146f62a0; frame = (0 524; 320 44); opaque = NO; autoresize = W+TM; layer = <CALayer: 0x146f6420>> 

| | < UIToolbarBackground: 0x14607ed0; frame = (0 0; 320 44); autoresize = W; userInteractionEnabled = NO; layer = <CALayer: 0x14607d40>> 

| | С | < UIBackdropView: 0x15829590; frame = (0 0; 320 44); opaque = NO; autoresize = WHH; userInteractionEnabled = NO; layer = < UlBackdropVie 
| I 1 | <_UIBackdropEffectView: 0x14509020; frame = (0 0; 320 44); clipsToBounds = YES; opaque = NO; autoresize = W*H; userInteractionEnabl 
| | | | «UIView: 0x147335c0; frame = (0 0; 320 44); hidden = YES; opaque = NO; autoresize = W+H; userInteractionEnabled = NO; layer = «CALe 
| | <UIImageView: 0x14725730; frame = (0 -0.5; 320 0.5); autoresize = W+BM; userInteractionEnabled = NO; layer = <CALayer: 0x1472be40>> 
| | <MailStatusBarView: 0х146с4110; frame = (69 0; 182 44); opaque = NO; autoresize = BM; layer = <CALayer: 0x146f9f90>> 


模仿 之 前 的 操作 ， 隐 藏 UIToolBar， 命 令 如 下 : 


су# [#0х146с4110 setHidden:NO] 
су# [#0х146#62а0 setHidden:YES] 


效果 如 图 6-13 所 示 。 
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BJ6-13 ”UIToolBar 被 隐藏 


此 时 ， 按 钮 被 隐藏 了 ， 说 明 按 钮 是 这 个 UIToolBar 的 一 个 subview。 在 这 个 UIToolBar 的 subview 里 面 寻找 带 有 “button” 字 样 的 view， 很 容易 就 定位 到 了 UIToolbarButton， 如 下 : 


| <MailStatusBarView: 0х146с4110; frame = (69 0; 182 44); opaque = NO; autoresize = BM; layer = <CALayer: 0x146f9f90>> 

I | <MailStatusUpdateView: 0x146e606 frame = (0 0; 182 44); opaque = NO; autoresize = W+H; layer = <CRLayer: 0x146c8840>> 

l | | <UILabel: 0x14609610; frame (40 21.5; 102 13.5); text = '3 Unsent Messages'; opaque = NO; userInteractionEnabled = NO; layer = < 
| 

I 


| | <UILabel: 0x145f3020; frame = (43 8; 96.5 13.5); text = 'Updated Just Now'; opaque = NO; userInteractionEnabled = NO; layer = < UII 
<UIToolbarButton: 0x14798410; frame = (285 0; 23 44); opaque = NO; gestureRecognizers = <NSArray: 0x14799510>; layer = <CALayer: 0x14798510>> 


下 面 看 看 它 是 不 是 “编写 邮件 ”按钮 ， 命 令 如 下 : 


Cy# [#0х146#62а0 setHidden:NO] 
Cy# [#0x14798410 setHidden:YES] 


按钮 被 成 功 隐藏 ， 如 图 6-14 所 示 。 
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图 6-14 ”按钮 被 隐藏 


至 此 ， 我 们 成 功 定位 到 了 “编写 邮件 ”按钮 ， 它 的 description 是 <UIToolbarButton: 0x14798410;frame=(2850;2344);opaque=NO;gestureRecognizers=<NSArray: 0x14799510>;layer= 


«CALayer: 0x14798510> > 。 接 下 来 要 找 出 它 的 UI 函 数 。 


3. 找 出 “编写 邮件 ”按钮 的 UI 函 数 


按钮 的 UI 函 数 ， 就 是 点 击 它 之 后 的 响应 函数 。 给 UIView 对 象 加 上 响应 函数 ， 一 般 是 通过 [UIControl addTarget:action:forControlEvents:] 实 现 的 〈 笔 者 还 没有 碰 到 过 例外 ) ; 而 UIControl 提 供 了 一 个 


actionsForTarget'forControlEvent: 方 法 ， 来 获得 这 个 UIControl 的 响应 函数 。 基 于 这 个 条 件 ， 只 要 第 2 步 里 定位 到 的 view 是 UIControl 的 子 类 (笔者 也 还 没有 碰 到 过 例外 ) ， 就 可 以 通过 这 种 方式 找到 它 的 
响应 函数 。 具 体 到 书 中 的 例子 ， 是 这 样 操 作 的 : 


су# button = #0х14798410 

#"<UIToolbarButton: 0x14798410; frame = (285 0; 23 44); hidden = YES; opaque = МО; gestureRecognizers = <NSArray: 0x14799510>; layer = <CALayer: 0x14798510>>" 
су# [button allTargets] 

[NSSet setWithArray:@[#"<ComposeButtonItem: 0x14609d00>"]]] 

су# [button allControlEvents] 

64 

cy# [button actionsForTarget:#0x14609d00 forControlEvent:64] 

@["_sendAction:withEvent:"] 


解 ， 


5. 查 看 当前 界 


因此 , 按 下 “编写 邮件 ”按钮 ，Mail 会 调用 [ComposeButtonltem_sendAction:withEvent:]， 我 们 成 功 找到 了 它 的 响应 函数 。 用 Cycript 注 入 ， 定 位 UI 控件 ， 找 出 UI 函数 ， 就 这 么 简单 。 如 果 你 还 不 理 
下 面 会 用 类 似 的 套路 分 析 MobilePhoneSettings， 请 注意 总 结 。 


Cycript 注 入 MobilePhoneSettings 


下 面 的 操作 大 家 应 该 都 很 熟悉 了 : 


FunMaker-5:~ root# ps -e | grep /Applications 
596 ?? 0:01.50 /Applications/MessagesNotificationViewService.app/MessagesNotificationViewService 
623 ?? 0:08.55 /Applications/InCallService.app/InCallService 
748 ?? 0:01.36 /Applications/MobileMail.app/MobileMail 
750 ?? 0:01.82 /Applications/Preferences.app/Preferences 
755 ttys000 0:00.01 grep /ApplicationsFunMaker-5:- root# cycript -p Preferences 


注意 ， 桌 面 上 Settings 的 应 用 名 叫 Preferences， 下 面 会 频繁 出 现 ， 请 大 家 留意 。 


的 UI 层次 结构 ， 定 位 第 一 个 cell 


m 


打印 出 当前 界面 的 UI 层次 结构 如 下 : 


Cy# ?expand 
expand == true 
Cy# [[UIApp keyWindow] recursiveDescription] 
@"<UIWindow: 0x17d62e00; frame = (0 0; 320 568); autoresize = H; gestureRecognizers = <NSArray: 0x17d589b0>; layer = <UIWindowLayer: 0x17d21c60>> 
| <UILayoutContainerView: 0x17d86620; frame = (0 0; 320 
568); autoresize = И+Н; layer = <CALayer: 0x17d863b0>> 
| | <UIView: 0x17ef2430; frame = (0 0; 320 0); layer = <CALayer: 0x17ef24a0>> 
| | <UILayoutContainerView: 0x17d7eb80; frame = (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x17eb6400»; layer = «CALayer: 0x17d7ed60>> 


l | 1 | 1 | 1 | l | | <PSTableCell: 0x17f92890; baseClass = UITableViewCell; frame = (0 35; 320 44); text = 'My Number'; autoresize = W; tag = 
| | I | | | I | | | I | <UITableViewCellContentView: 0x17f92ad0; frame = (0 0; 287 43.5); gestureRecognizers = <NSArray: 0x17f92ce0>; layer 
| | | | | | | | | | 1 | | |<UITableViewLabel: 0x17f92d30; frame = (15 12; 90 20.5); text = 'My Number'; userInteractionEnabled = NO; layer 
| | | | | | | | | | | | | <UITableViewLabel: 0x17f93060; frame = (132.5 12; 152.5 20.5); text = '+86PhoneNumber'; userInteractionEnabled = 


才 “ 编 写 邮件 ”按钮 不 同 的 是 ， 这 次 的 目标 不 是 这 个 cell 的 响应 函数 (功能 ) ， 而 是 它 上 面 显示 的 内 容 (数据 ) ，actionsForTarget:forControlEvent: 不 再 适用 。 


很 容易 就 可 以 定位 到 显示 “+86PhoneNumber” 的 地 方 ， 而 且 几 乎 不 需要 测试 ， 就 可 以 知道 它 所 在 的 cell 是 PSTableCell。 尝 试 隐藏 这 个 cell， 验 证 一 下 猜测 ， 命 令 如 下 : 


Cy# [#0x17£92890 setHidden: YES] 


此 时 ，MobilePhoneSettings 变 成 了 如 图 6-15 所 示 的 这 个 样子 。 


所 以 第 一 个 cell 的 description 是 <PSTableCell: 0x17f92890;baseClass=UlTableView-Cell;frame=(035;32044);text='My Number';autoresize=W;tag=2;layer=<CALayer: 0x17f92a60> >。 与 刚 
对 这 种 情况 ， 该 怎么 办 呢 ? 


m 


在 绝 大 多 数 情况 下 ， 我 们 感 兴趣 的 数据 不 会 是 一 个 常量 。 如 果 这 个 数据 永远 显示 1， 笔 者 相信 你 看 都 不 会 多 看 它 一 眼 。 当 目标 是 一 个 变量 时 ， 则 要 思考 一 个 问题 : 这 个 变量 来 自 哪 里 ? 


esesc 中 国联 通 = 16:33 @ 3755 ШШ, 


< Settings Phone 


Contact Photos їп Favorites € ` 


CALLS 


Respond with Text 
Call Forwarding 
Call Waiting 

Show My Caller ID 


Blocked 


Dial Assist 


图 6-15 ”隐藏 第 一 个 cell 


任何 变量 都 不 是 赁 空 出 现 的 ， 它 是 由 数据 源 ， 经 过 一 定 的 算法 生成 的 ， 而 我 们 感 兴趣 的 一 般 是 这 个 算法 ， 也 就 是 数据 源 生成 变量 的 这 个 过 程 ， 这 个 过 程 往往 是 由 一 个 或 多 个 函数 串联 而 成 的 ， 它 们 形成 


了 一 个 调 


变量 是 已 知 的 ， 也 就 是 说 ， 我 们 位 于 链条 的 尾部 。 逆 向 工程 ， 自 然 就 能 够 让 我 们 从 尾部 顺 着 链条 回溯 到 头 部 ， 找 出 这 个 调 


链 ， 类 似 于 下 面 的 伪 代 码 : 


Source = ?; // head 

function (dataSour 

function (а); 

function (b); 

function (у); 

g *myPhoneNumbe function (2); // tail 


链 上 的 一 个 个 函数 ， 从 而 还 原 一 整套 算法 。 总 的 来 说 ， 还 原 变量 的 生成 算 


法 ， 就 要 在 回溯 的 过 程 中 记录 其 数据 源 (的 数据 源 的 数据 源 ……， 以 下 简称 N 重 数据 源 ) 和 函数 的 调用 轨迹 ， 当 它 的 N 重 数据 源 是 一 个 你 可 以 决定 的 数据 时 〈 比 如 本 例 的 数据 源 是 一 一 SIM 卡 ) ， 从 N 重 数据 
源 到 变量 之 间 这 段 链 条 上 的 函数 ， 就 是 变量 的 生成 算法 。 有 点 不 知 所 云 ? 看 完 下 面 的 内 容 ， 你 就 明白 了 。 


6. 找 出 第 一 个 cell 的 UI 函数 


按照 MVC 设 计 标准 (如 图 6-16 所 示 ) ，M 代 表 model， 即 数据 源 ， 是 未 知 的 ; V 代 表 view， 即 第 一 个 cell， 是 已 知 的 ; 代表 controller， 是 未 知 的 。M 和 V 之 间 没 有 直接 联系 ， 而 C 既 可 以 访问 M 又 可 以 
访问 V， 是 三 者 的 交流 中 枢 。 如 果 能 够 利用 已 知 的 V， 获 得 C， 不 就 可 以 访问 M ， 找 到 自己 的 数据 源 了 吗 ” 这 种 方式 从 逻辑 上 是 说 得 通 的 ， 在 实际 操作 中 可 行 吗 ? 


MVC 


Controller 


and View should never speak to each other. 


6-16 ”MVC 设计 标准 (来 自 Stanford CS 193P) 


从 笔者 目前 的 职业 经 历来 看 ， 从 V 得 到 C， 是 100% 可 行 的 ， 用 到 的 关键 函数 ， 就 是 在 笔者 心目 中 与 recursiveDescription 具 有 同等 地 位 的 公开 函数 [UIResponder nextResponder]， 它 的 描述 是 这 样 
的 : 


“The UlResponder class does not store or set the next responder automatically,instead returning nil by default.Subclasses must override this method to set the next responder.UlView 
implements this method by returning the UlViewController object that manages it(if it has one) or its superview(if it doesn' t);UlViewController implements the method by returning its 


view' s superview;UlWindow returns the application object,and UlApplication returns nil." 


也 就 是 说 ， 对 于 一 个 V， 调 用 nextResponder， 要 么 返回 它 对 应 的 C， 要 么 返回 它 的 superview。 因 为 MVC 三 者 缺 一 不 可 ， 所 以 C 是 一 定 存在 的 ， 也 就 是 说 ， 一 定 有 一 个 V 的 nextResponder 是 C; 又 
为 通过 recursiveDescription 可 以 拿 到 所 有 的 V， 所 以 从 已 知 的 V 获 得 C 是 可 行 的 ， 进 一 步 就 可 以 访问 M 了 。 


因此 ， 我 们 现在 的 目标 是 拿 到 cell 的 C， 操 作 起 来 很 简单 一 -从 cell 处 开始 调用 nextResponder， 一 直到 返回 一 个 C 为 止 ， 命 令 如 下 : 


су# [#0x17£92890 nextResponder] 

#"<UITableViewWrapperView: 0х17ер4#с0; frame = (0 0; 320 504); gestureRecognizers = <NSArray: 0x17ee5230»; layer = <CALayer: 0х17ее5170>; contentOffset: (0, 0); contentSize: (š 
cy# [#0x17eb4fc0 nextResponder] 

#"<UITableView: 0x16c69e00; frame = (0 0; 320 568); autoresize = WHH; gestureRecognizers = «NSArray: 0х17#4асе0>; layer = <CALayer: 0х17#4ас20>; contentOffset: (0, -64); conter 
Cy# [#0х16сб9е00 nextResponder] 

#"<UIView: Oxl7ebf2b0; frame = (0 0; 320 568); autoresize = WtH; layer = «CALayer: 0x17ebf320>>" 

cy# [#0x17eb£2b0 nextResponder] 

#"<PhoneSettingsController 0х17#411е0: navItem «UINavigationItem: 0х17дае890>, view <UITableView: 0x16c69e00; frame = (0 0; 320 568); autoresize = W+H; gestureRecognizers = «NS 


拿 到 了 C， 就 可 以 从 C 所 在 的 头 文件 出 发 ， 踏 上 寻找 M 的 旅途 了 。 对 于 本 例 的 情况 ， 首 先 要 定位 PhoneSettingsController 所 在 的 目标 文件 ， 我 们 不 确定 它 是 来 自 Preferences.app 本 身 ， 还 是 来 自 一 个 
PreferenceBundle。 对 于 这 种 情况 ， 简 单 验证 一 下 就 好 了 ， 命 令 如 下 : 


FunMaker-5:~ root# grep -r PhoneSettingsController /Applications/Preferences.app/ 

FunMaker-5:~ root# grep -r PhoneSettingsController /System/Library/ 

Binary file /System/Library/Caches/com.apple.dyld/dyld_shared_cache_armv7s matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs-to-override-cache: No such file or directory 

grep: /System/Library/Frameworks/CoreGraphics.framework/Resources/libCGCorePDF.dylib: No such file or directory 
grep: /System/Library/Frameworks/CoreGraphics.framework/Resources/libCMSBuiltin.dylib: No such file or directory 
grep: /System/Library/Frameworks/CoreGraphics.framework/Resources/libCMaps.dylib: No such file or directory 
grep: /System/Library/Frameworks/System.framework/System: No such file or directory 

Binary file /System/Library/PreferenceBundles/MobilePhoneSettings.bundle/Info.plist matches 


看 来 这 个 类 来 自 MobilePhoneSettings.bundle。 下 面 class-dump 它 的 二 进 制 文件 ， 然 后 打开 PhoneSettingsController.h， 命 令 如 下 : 


@interface PhoneSettingsController :PhoneSettingsListController <TPSetPINView-ControllerDelegate> 
- (id)myNumber: (id) argl; 

= (void) setMyNumber: (id)argl specifier: (id) arg2; 

Tiia tableView: (id)argl cellForRowAtIndexPath: (id)arg2; 

Qend 


从 上 面 的 代码 可 以 看 到 ， 前 两 个 方法 明显 跟 本 机 号 码 相 关 ， 而 第 3 个 方法 是 用 来 初始 化 所 有 cell 的 数据 源 函数 ， 每 个 cell 显 示 的 数据 一 般 也 都 与 这 个 方法 有 着 干 丝 万 缕 的 联系 。 从 这 3 个 方法 入 手 ,一 定 可 
以 找到 第 一 个 cell 的 数据 源 。 我 们 用 LLDB 在 [PhoneSettingsController tableView:cellForRowAtindexPath:] 的 未 尾 下 个 断 点 ， 打 印 出 返回 值 ， 也 就 是 cell， 看 看 有 没有 本 机 号 码 的 踪迹 。 下 面 用 
debugserver 附 加 Preferences， 然 后 用 LLDB 连 接 ， 查 看 MobilePhonesettings 的 ASLR 偏 移 ， 如 下 : 


(1140) image list -o -f 

[0] 0x00078000 /private/var/db/stash/ .291MeZ/Applications/Preferences.app/Preferences (0x000000000007c000) 

[1] 0x00231000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x0000000000231000) 

[2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/i0S DeviceSupport/8.1 (12B411) /Symbols/System/Library/PrivateFrameworks/BulletinBoard. framework/BulletinBoard 
[3] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/System/Library/Frameworks/CoreFoundation. framework/CoreFoundation 


[322 ] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/System/Library/PreferenceBundles/MobilePhoneSettings .bundle/MobilePhoneSettinc 


可 以 看 到 ，MobilePhonesettings 的 ASLR 偏 移 是 0x6db3000。 然 后 在 IDA 中 看 看 [Phone-SettingsController tableView:cellForRowAtlndexPath:] 示 尾 指令 的 地 址 ， 如 图 6-17 所 示 。 


__text:25BB2C2A loc 25BB2C2A ; CODE XREF: -[PhoneSettingsController 
_ text:25BB2C2A RO, R4 
| text:25BB2C2C SP, SP, $8 


_ text:25BB2C2E {R4-R7, PC} 
|. text:25BB2C2E ; End of function -[PhoneSettingsController tableView:cellForRowAtIndexPath:] 


图 6-17 [PhoneSettingsController tableView:cellForRow AtIndexPath:] 


因为 返回 值 存放 在 RO 中 ， 所 以 把 断 点 下 在 “ADD 5Р,5Р,#8" 上， 然后 返回 上 一 级 目录 ， 再 重新 进入 MobilePhonesettings， 待 断 点 触发 后 打印 R0， 其 中 应 该 存放 了 已 经 初始 化 的 cell， 如 下 : 


(114) br s -a 0х2с965с2с 
Breakpoint 2: where = MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 236, address = 0x2c965c2c 
Process 115525 stopped 
* thread #1: tid = 0х1с345, 0x2c965c2c MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 236, queue = 'com.apple.main-thread, stop reason = brea 
frame #0: 0х2с965с2с MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 236 
MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 236: 
-> 0х2с965с2с: add sp, #8 
0х2с965с2е: рор (r4, r5, r6, r7, рс} 
MobilePhoneSettings'-[PhoneSettingsController applicationWillSuspend]: 
0x2c965c30: push (rT, 1r} 
0х2с965с32: mov rl; sp 
(lldb) po $r0 
<PSTableCell: 0x15f41440; baseClass = UITableViewCell; frame = (0 0; 320 44); text 
(114) po [$r0 subviews] 
« NSArrayM 0x17060e50> ( 
«UITableViewCellContentView: 0x15ed0660; frame = (0 0; 320 44); gestureRecognizers 
<UIButton: 0x15f26f50; frame = (302 16; 8 13); opaque = NO; userInteractionEnabled 
) 
(114) po [Sr0 detailTextLabel] 
<UITableViewLabel: 0x15eb3480; frame = (0 0; 0 0); text = '+86PhoneNumber'; userInteractionEnabled = NO; layer = < UlLabelLayer: 0x15eb3540>> 


"Му Number'; tag = 2; layer = «CALayer: 0х15#4с930>> 


<NSArray: 0х15#491е0>; layer = «CALayer: 0x15ed06d0>>, 
NO; layer = «CALayer: 0х15#27050>> 


可 以 看 到 ， 第 一 个 cell 的 UI 函数 确实 是 [PhoneSettingsController tableView:cellForRow-AtindexPath:]， 我 们 成 功 完成 了 本 节 的 任务 。 我 们 有 信心 ， 通 过 PhoneSettingsController 类 一 定 可 以 拿 到 访 
问 M 的 方法 ， 在 tableView:cellForRowAtindexPath: 内 部 也 一 定 有 M 的 线索 ， 在 下 一 小 节 中 就 会 见证 。 


注意 ， 游 戏 一 般 不 是 采用 UlKit 来 构建 UI 的 ，recursiveDescription 和 nextResponder 不 适用 于 游戏 。 在 逆向 工程 初期 ， 不 建议 把 游戏 作为 练习 目标 。 如 果 你 在 熟悉 了 本 书 的 内 容 后 想 要 逆向 游戏 ， 可 以 
来 http://bbs.iosre.com 参 与 讨论 。 


6.2.2 ”以 UI 函数 为 起 点 ， 和 寻找 目 标 函数 


拿 到 UI 浮 数 ， 预 示 着 首战 告捷 。 但 是 ，UI 函 数 与 Ul 是 密切 相关 的 ， 也 就 是 说 ， 要 想 调 用 [ComposeButtonltem_sendAction:withEvent:] 来 编写 邮件 ,或 者 调用 [PhoneSettingsController 
tableView:cellForRowAtindexPath:] 来 获取 本 机 号 码 ， 会 关联 很 多 UI 操作 ， 比 如 刷新 界 十 布局 等 ， 有 一 种 牵 一 发 而 动 全 身 的 感觉 。 在 绝 大 多 数 情况 下 ， 我 们 不 想 搞 得 这 么 大 张 旗 鼓 ， 希 望 只 是 安静 地 
牵 一 发 ， 而 不 会 动 全 身 。 面 对 这 种 挑战 ， 我 们 该 何去何从 呢 ? 


回 


作为 工程 师 ， 一 定 要 具备 基本 的 代码 常识 : 最 底层 的 函数 通常 是 直接 用 汇编 代码 编写 的 ， 我 们 还 接触 不 到 ;而 这 层 以 上 的 函数 全 都 是 嵌 套 调用 的 。 UI 函 数 也 不 例外 一 一 它 庶 套 调用 了 我 们 的 目标 函数 。 
伪 代 码 表示 如 下 : 


drink GetRegular (water arg) 


Functions (); 
return MakeRegular (arg); 


drink GetDiet (void) 


Functions (); 
return MakeDiet (); 


drink GetZero (void) 


Functions () 7 
return MakeZero () ; 


drink GetCoke(sugar argl, water arg2, color arg3) 
if (argl > 0 && argl < 3) return GetDiet(); 
else if (argl = 0) return GetZero(); 
return GetRegular (arg2) ; 

drink Get7Up (void) 


Functions () ; 
return Make7Up (); 


drink GetMirinda (void) 


Functions () 7 
return MakeMirinda () ; 


drink GetPepsi(sugar argl, water arg2, color arg3) 
if (arg3 == clear) Get7Up(); 
else if (arg3 == orange) GetMirinda(); 
return GetRegular (arg2) ; 
array GetDrinks (sugar argl, color arg2) // UIFunction 
drink coke = GetCoke(argl, 100, arg3); 


drink pepsi = GetPepsi(argl, 105, arg3); 
return ArrayWithComponents (coke, pepsi) 


我 们 不 想 每 次 都 喝 两 种 饮料 (UIR) ， 如 果 只 想 喝 七 喜 (数据 ) ， 就 要 找到 Get7Up (生成 数据 的 目标 函数 ) ; 如果 想 知道 零度 是 怎么 制作 的 (功能) ， 就 要 找到 MakeZero (提供 功能 的 目标 函 
数 ) 。 赃 套 调 用 的 函数 之 间 其 实 也 是 一 个 链条 ， 只 要 已 知 链条 上 的 一 个 环节 ， 就 可 用 通过 逆向 工程 还 原 整个 链条 。 这 个 过 程 主要 用 到 的 工具 是 IDA 和 LLDB， 我 们 接着 上 面 2 个 App 例 子 ， 看 看 如 何以 
[ComposeButtonltem_sendAction:withEvent:] 和 [PhoneSettingsController tableView:cellForRowAtlndexPath:] 这 2 个 UI 函 数 为 线索 ， 寻 找 “编写 邮 件 ” 和 “获取 本 机 号 码 ” 的 目标 函数 。 


1. 寻 找 “ 编 写 邮件 ”的 目标 函数 


把 MobileMail 丢 进 IDA 开 始 分 析 ， 然 后 在 Functions window 里 搜索 [ComposeButtonltem_sendAction:with Event:]， 如 图 6-18 所 示 。 


Search string is not found 


6-18 ” 找 不 到 [ComposeButtonItem_sendAction:withEvent:] 


说 好 的 [ComposeButtonltem_sendAction:withEvent:] 呢 ? 既然 ComposeButtonltem 没 有 实现 这 个 方法 ， 那 么 去 它 的 父 类 里 看 看 。 打 开 ComposeButtonltem.h， 看 看 它 继承 自 哪 个 类 ， 如 下 : 


@interface ComposeButtonItem : LongPressableButtonItem 
+ (id) composeButtonItem; 
Gend 


然后 打开 LongPressableButtonltem.h， 看 看 它 有 没有 实现 _ sendAction:withEvent: 方 法 ， 如 下 : 


@interface LongPressableButtonItem : UIBarButtonItem 


id _longPressTarget; 
SEL _longPressAction; 


(void) attachGestureRecognizerToView: (id)argl; 

(id) createViewForNavigationItem: (id)argl; 

(id) createViewForToolbar: (id) argl; 

(void) longPressGestureRecognized: (id) argl; 

(void) setLongPressTarget: (id)argl action: (SEL) arg2; 
@end 


它 也 没有 实现 这 个 方法 ， 那 就 再 到 它 的 父 类 里 去 看 看 。 打 开 UIBarButtonltem.h， 如 下 : 


@interface UIBarButtonItem : UIBarItem <NSCoding> 


原来 这 个 函数 是 在 UIBarButtonltem 类 中 实现 的 ， 那 么 把 UIKit 的 二 进 制 文件 拖 到 IDA 里 开始 分 析 。UIKit 二 进 制 文件 较 大 ，IDA 分 析 耗 时 较 长 ， 在 等 待 的 间隙 ， 来 http://bbs.iosre.com 跟 大 家 聊 聊 吧 ! 


UIKit 初 始 分 析 结束 后 ， 定 位 到 [UIBarButtonltem_sendAction:withEvent:]， 如 图 6-19 所 示 。 


UIBarButtonItem - (void) sendAction:(id) withEvent:(id) 


Attributes: bp-based frame 


void _ cdecl -[UIBarButtonItem sendAction:withEvent:] (struct 


__UIBarButtonItem_sendAction_withEvent _ 
{R4,R5,R7,LR} 

ADD R7, SP, #8 

PUSH.W (R10,R11) 
SP, SP, #8 
R10, RO 


RO, $(selRef action - 0x2501F69E) 


R11, R3 

RO, PC ; selRef action 
R4, [RO] ; "action" 
RO, R10 

R1, R4 

_objc_msgSend 

RO, loc_2501F6FC 


96-19 [UIBarButtonItem_sendAction:withEvent:] 


第 一 个 调用 的 函数 是 objc_msgSend。 官 方 文档 的 注释 是 这 样 的 : 


; SelRef action 


“When it encounters a method call,the compiler generates a call to one of the functions objc_msgSend,objc_msgSend_stret,objc_msgSendSuper,or 


objc_msgSendSuper_stret.Messages sent to an object’ s superclass(using the super keyword) are sent using objc msgSendSuper;other messages are sent using objc_msgSend.Methods 


that have data structures as return values are sent using objc_msgSendSuper_stret and objc msgSend stret.” 


依据 第 5 章 中 “对 象 ”、“ 方 法 ”和 “实现 ”的 关系 来 进一步 探索 ，[receiver message] 在 编译 后 变 成 了 objc_msgSend(receiver,@selector(message)); 当 方 法 有 参数 时 ， 则 由 [receiver 
message:arg1 foo:arg2 bar:arg3] 变 成 objc_msgSend(receiver,@selector(message),arg1,arg2,arg3)， 依 此 类 推 。 因 此 ， 第 一 个 objc_msgSend 其 实 是 执行 了 一 个 Objective-C 方 法 。 那 么 它 具 体 执行 的 


是 什么 方法 呢 ? 调用 者 是 谁 ， 参 数 又 是 什么 呢 ? 


还 记得 我 们 的 金 句 吗 ? 


“函数 的 前 4 个 参数 存放 在 RO0 到 R3 中 ， 其 他 参数 存放 在 栈 中 ; 返回 值 放 在 RO 中 。” 


依照 金 句 来 看 ，objc_msgSend 调 用 时 的 参数 应 该 是 objc_msgSend(RO,R1,R2,R3,*SP,*(SP+sizeOfLastArg),http://www.hzcourse.cComy/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15121/OEBPS/VText/…) 的 形式 ， 还 原 成 等 价 的 Objective- 方法， 就 是 [RO R1:R2 foo:R3 bar:*SP baz:* 


(SP+sizeOfLastArg) qux:http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ ebook/uncompressed/15121/OEBPS/Text/.….]。 把 这 个 套路 运用 在 第 一 个 objc_msgSend 
上 ， 想 知道 它 的 等 价 Objective-C 方 法 ， 就 要 看 在 “BLX.W_objc_msgSend” 之 前 ，R0~R3 及 SP 都 是 什么 。 这 是 个 从 下 往 上 倒 推 的 分 析 过 程 ， 是 名 副 其 实 的 逆向 工程 。 一 起 来 看 一 下 。 


在 “BLX.W_objc_msgSend” 之 前 ，R0 最 近 的 一 次 赋值 来 自 “MOV RO,R10”， 即 RO 来 自 R10; R10 的 最 近 一 次 赋值 来 自 “MOV R10,R0”， 即 R10 来 自 RO。 在 “MOV R10,R0” 之 前 ，R0 没 有 被 赋值 


就 直接 取 值 了 ;这 显然 是 不 合 逻 辑 的 ， 汇 编 语言 不 可 能 出 现 这 么 严重 的 设计 漏洞 。 那 么 RO 肯定 还 是 在 某 个 地 方 被 赋值 了 


问题 来 了 ，“ 某 个 地 方 ” 是 哪个 地 方 呢 ? 


既然 在 [UlBarButtonltem_sendAction:withEvent:] 的 内 部 ，R0 没 有 被 赋值 ， 那 么 唯一 的 可 能 就 是 它 在 [UlBarButtonltem_sendAction:withEvent:] 的 调用 者 中 被 赋值 。 
[UlBarButtonltem_sendAction:withEvent:] 在 编译 后 变 成 了 objc_msgSend(UlBarButtonltem,@selector( sendAction:withEvent:),action,event)， 四 个 参数 分 别 放 在 了 RO0~R3 中 。 因 此 ， 


[UlBarButtonltem_sendAction:withEvent:] 得 到 调用 时 ，R0 的 值 就 是 UlIBarButtonltem， 进 而 调用 “MOV R10,R0” 时 的 RO 也 是 UlBarButtonltem， 即 调 


UlBarButtonltem。 有 点 迷糊 ? 对 照 着 图 6-20 再 想 一 想 就 明白 了 。 


程 如 图 6-21 所 示 。 


同 理 ， 在 “BLX.W_objc_msgSend” 之 前 ，R1 最 近 的 一 次 赋值 来 自 “MOV R1,R4”， 即 R1 来 自 R4; R4 最 近 的 一 次 赋值 来 自 “LDR R4,[R0]”，R4 来 


“BLX.W_objc_msgSend” 时 的 RO 是 


*R0， 即 1DA 已 经 标 出 的 “action”。R1 的 演变 过 


UrBarButtonItem - (void) sendAction:(id) withEvent: (id) 
Attributes: bp-based frame 


void _ cdecl -[UIBarButtonItem sendAction:withEvent:](struct U 
__UIBarButtonItem_ sendAction_wijthEvent__ 
{R4,R5,R7,LR} 
R7, SP, #8 
{R10,R11} 
SP, SP, #8 
0, 
RO, #(selRef_action - 0x2501F69E) ; selRef_action 
R11, R3 
RO, PC ; selRef_action 
R4, [RO] ; "action" 
0 


; R4 
_objc_msgSend 


RO, loc 2501F6FC 


图 6-20 R0 的 演变 过 程 


; UIBarButtonItem - (void) sendAction:(id) withEvent: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonItem _sendAction:withEvent:](struct U 
. UlBarButtonItem sendAction withEvent _ 

{R4,R5,R7,LR} 

R7, SP, #8 

{R10,R11} 

SP, SP, #8 

R10, RO 

RO, #(selRef_action - O0x2501F69E) ; selRef_action 

R11, R3 

RO, PC ; selRef action 

‚ [RO] ; "action" 
RO, R10 


c msgSend 
loc 2501F6FC 


图 6-21 R1 的 演变 过 程 


因此 ,第 一 个 objc_msgSend 还 原 成 Objective-C 方 法 后 ， 是 [self action]， 返 回 值 存放 在 接 下 来 的 RO 中 。 没 问题 吧 ? 接着 进程 判断 [self action] 是 否 为 0， 如 果 是 0， 则 不 执行 任何 操作 ; 否则 到 达 图 6- 


; selRef_sharedApplication 
classRef_UIApplication 


#(selRef_sharedApplication - 0х2501Р6ВС) 

#(classRef_UIApplication - 0x2501F6BE) 

PC ; selRef_sharedApplication 

PC ; classRef_UIApplication 

"sharedApplication" 

.OBJC CLASS $ UlApplication 

_objc_msgSend 

R5, RO 

RO, R10 

R1, R4 

.objc msgSend 

R4, RO 

RO, $(selRef target - Ox2501F6DC) ; selRef target 
PC ; selRef target 


1 
; 


; 
; 


, 


#(selRef_sendAction_to_from_forEvent_ - 0x2501F6F2) 
Rá 

selRef sendAction to from forEvent_ 
"sendAction:to:from:forEvent:" 


Li 


R10, R11, [SP] 
_objc_msgSend 


6-22 [UIBarButtonItem_sendAction:withEvent:] 


又 是 4 个 objc_msgSend， 从 上 到 下 逐个 分 析 : 


第 一 个 objc_msgSend 的 RO 来 自 “LDR RO,[R2]”，1DA 已 经 分 析出 [R2] 是 UIApplication 类 ; R1 来 自 “LDR R1,[R0]” , BD "sharedApplication" , [4] 
就 是 [UIApplication sharedApplication]， 且 返回 值 放 入 R0。 


第 二 个 objc_msgSend 的 RO 来 自 “MOV R0,R10” , BDR10; 在 图 6-20 中 ， 我 们 知道 R10 的 值 是 UlBarButtonltem; R1 来 自 “MOV R1,R4” , BDR4; 在 图 6-21 中 ，R4 的 值 是 “action”。 


objc_msgSend 还 原 成 Objective-C 方 法 就 是 [UlBarButtonltem action]， 并 将 返回 值 存放 在 RO 中 。 


第 三 个 objc_msgSend 的 RO 仍 来 自 “MOV R0,R10” , BpUlBarButtonltem; R1 来 自 “LDR R1,[RO]”， 即 “target”。 
target]， 并 将 返回 值 保存 在 RO 中 。 


第 四 个 objc_msgSend 的 RO 来 自 “MOV RO,R5" , BDR5; R5 来 自 第 一 个 objc_msgSend 下 方 的 “MOV R5,R0” , BDRO; RO 是 什么 呢 ? A 


因 


selRef sendAction to from forEvent_ 


此 第 一 个 objc_msgSend 还 原 成 Objective-C 方 法 


此 第 二 个 


因此 第 三 个 objc_msgSend 还 原 成 Objective-C 方 法 就 是 [UlBarButtonltem 


为 第 一 个 objc_msgSend 执 行 之 后 ， 把 返回 值 存放 在 了 RO 里 ， 


所 以 这 个 RO 就 是 [UIApplication sharedApplication] 的 返回 值 ， 它 是 objc_msgSend 的 第 一 个 参数 。R1 来 自 “LDR R1,[R0]”， 即 “sendAction:to:from:forEvent:”， 这 是 一 个 有 4 个 参数 的 方法 ， 加 上 


因此 RO~R3 寄 存 器 不 够 用 


了 ， 有 2 个 参数 要 放 在 栈 上 。R2 来 


objc_msgSend 的 前 2 个 参数 ， 一 共 6 个 参数 ， 
第 二 个 objc_msgSend 执 行 之 后 的 返回 


2 个 参数 就 是 R10 和 R11。R10 是 刚才 已 经 分 析 了 好 几 遍 的 UlBarButtonltem， 而 R11 来 自 


值 ， 即 [UlBarButtonltem action]， 这 是 第 3 个 参数 。R3 来 自 第 三 个 objc_msgSend 下 方 的 “MOV R3,R0” , BDRO; RO 来 自 第 三 个 objc_msgSend 执 行 之 后 的 返回 
值 ，[UlBarButtonltem target]， 这 是 第 4 个 参数 。 接 下 来 的 2 个 参数 来 自 栈 ， 而 在 第 四 个 objc_msgSend 以 前 ， 栈 的 最 近 一 次 改动 来 


E "MOV R2,R4” , BDR4; R4 来 自 第 二 个 objc_msgSsend 下 方 的 “MOV RARO" , BDRO; КОЖА 


自 “STRD.W R10,R11,[SP]”， 即 先后 把 R10 和 R11 入 栈 ， 因 
图 6-21 的 “MOV R11,R3”， 即 R3; R3 又 是 一 个 没有 被 赋值 就 直接 取 值 的 寄存 器 ， 因 此 它 也 是 来 自 


此 接 下 来 的 


[UlBarButtonltem_sendAction:withEvent:] 的 调用 者 。 根 据 之 前 的 分 析 ，R11 就 是 sendAction:withEvent: 的 第 二 个 参数 ， 即 event。 这 4 个 objc_msgSend 的 参数 关系 可 以 用 图 6-23 和 图 


这 样 看 来 ，[UIBarButtonltem_sendAction:withEvent:] 内 最 关键 的 就 是 [[UIApplication sharedApplication]sendAction:[self action]to:[self target]from:self forEvent:event] 这 个 方法 了 


чег A, 


知道 [UUIBarButtonltem_sendAction:withEvent:] 会 执行 “编写 邮件 ”操作 ， 所 以 [[UIApplication sharedApplication]sendAction:[self action]to:[self target]from:self forEvent:event] 肯 定 会 


然 上 面 用 IDA 厘 清 了 每 个 参数 的 来 源 ， 但 是 这 些 参数 在 运行 时 的 值 是 什么 ， 用 IDA 仍 看 不 出 来 ; 是 时 候 借 助 LLDB 的 威力 了 ， 一 起 来 看 看 在 运行 时 这 段 代码 都 做 了 些 什么 。 


= 
里 


; UIBarButtonItem - (void) sendAction:(id) withEvent: (id) 
Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonItem sendAction:withEvent:] (struct U: 
. UlBarButtonItem sendAction withEvent _ 
PUSH {R4,R5,R7,LR} 
ADD R7, SP, #8 
PUSH.W {R10,R11} 
SUB SP, SP, #8 
MOV R10, RO 
RO, #(selRef_action - Ox2501F69E) ; AelRef_action 


PC ; selRef action 


[RO] ; "action" 
RO, R10 
Rl, R4 
_objc_msgSend 


RO, loc 2501F6FC 


6-24 表 示 。 


。 因 为 已 经 
得 到 调用 。 


图 6-23 ”objc_msgSend 的 参数 关系 (1) 


n 


RO, #(selRef_sharedApplication - 0x2501F6BC) ; selRef_s 
R2, #(classRef_UIApplication - 0x2501F6BE) ; classRef_U 
RO, PC ; selRef_sharedApplication 

R2, PC ; classRef_UIApplication 

R1, [RO] ; "sharedApplication" 

RO, [R2] ; OBJC CLASS $ UIApplication 

_objc_msgSend 


JV ~~ Г RO 
MOV RO, R10 
MOV R1, R4 
BLX.W _objc_msgSend 
DV , RO 
OV , #(selRef_target - Ox2501F6DC) ; selRef target 
DD PC ; selRef_target 
R R1, [RO] ; "target" 
OU RO, 及 16 
BLXN W objc msgSenc 
MOV , RO 
MOV ‚ *(selRef sehdAction to from forEvent  - 0x2501F6F2) 
MOV 
ADD RO, PC ; selRef|sendAction to from forEvent 
LDR R1, [RO] ; "segdAction:to:from:forEvent:" 
MOV RC 
STRD.W RIUGR11, [S£] 
BLX.W . objc TmEgSend 


图 6-24 ”objc_msgSend 的 参数 关系 (2) 


用 debugserver 附 加 MobileMail， 然 后 用 LLDB 连 过 去 ， 打 印 出 UIKit 的 ASLR 偏 移 ， 如 下 : 


ldb) image list -o -f 

] 0x0008e000/private/var/db/stash/ .291MeZ/Applications/MobileMail.app/MobileMail (0x0000000000092000) 

] 0x00393000/Library/MobileSubstrate/MobileSubstrate.dylib (0x0000000000393000) 

] 0x06db3000 /Users/snakeninny/library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411)/Symbols/usr/lib/libarchive.2.dylib 


_ text:2501F6F0 R1, [RO] ; "sendAction:to:from:forEvent: 
|, text:2501F6F2 RO, R5 


_ text:2501F6F4 R10, R11, [SP] 


_ text:2501F6F8 _objc_msgSend 

__text:2501F6FC 

__text:2501F6FC loc 2501F6FC ; CODE XREF: -[UIBarButtonItem 5 
— text:2501F6FC SP, SP, #8 

_ text:2501F6FE POP.W (R10,R11) 

|. text:2501F702 POP {R4,R5,R7,PC} 

| text:2501F702 ; End of function -[UIBarButtonItem sendAction:withEvent: ] 


图 6-25 ”查看 objc_msgSend 的 地 址 


在 0x6db3000+0x2501F6F8=0x2BDD26F8 上 下 个 断 点 ， 然 后 按 下 “编写 邮件 ”按钮 触发 断 点 ， 看 看 [[UIApplication sharedApplication]sendAction:[self action]to:[self target]from:self 
forEvent:eventFromArg2] 的 几 个 参数 都 是 什么 ， 如 下 : 


(1146) br s -a Ox2BDD26F8 
Breakpoint 4: where = UIKit'-[UIBarButtonItem(UIInternal) _sendAction:withEvent:] + 116, address = 0x2bdd26f8 
Process 44785 stopped 
* thread #1: tid = Oxaefl, Ox2bdd26f8 UIKit'-[UIBarButtonItem(UIInternal) _sendAction:withEvent:] + 116, queue = 'com.apple.main-thread, stop reason = breakpoint 4.1 
frame #0: Ox2bdd26f8 UIKit'-[UIBarButtonItem(UIInternal) _sendAction:withEvent:] + 116 
UIKit'-[UIBarButtonItem(UIInternal)  sendAction:withEvent:] + 116: 
-> Ox2bdd26f8: blx 0x2c3539f8 ; symbol stub for: roundf$shim 
Ox2bdd26fc: ааа sp, #8 
Ox2bdd26fe: pop.w {r10, r11} 
Ox2bdd2702: pop (r4, r5, r7, рс} 
(1140) p (char *)$г1 
(char *) $48 = 0x2c3de501 "sendAction:to:from:forEvent:" 
(1140) po $r0 
«MailAppController: 0x176a8820> 
(lldb) po $r2 
[no Objective-C description available] 
(1ldb) p (char *)$r2 
( 


(1146) po $r3 
«nil» 
(lldb) х/10 $sp 


0х00391198: 0x1776d640 0x176a8ce0 0x1760f5e0 0х00000000 
0x003911a8: 0x2c4140f2 0x1776ff50 0x003911cc 0x2bc6ec2b 
0x003911b8: 0x176a8ce0 0x00000001 
(lldb) po 0x1776d640 
<ComposeButtonItem: 0x1776d640> 
(114) ро 0x176a8ce0 
<UITouchesEvent: 0x176a8ce0» timestamp: 58147.4 touches: { ( 
<UITouch: 0x1895e2b0> phase: Ended tap count: 1 window: <UIWindow: 0x17759c30; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x1775c7a0>; layer = <UIWindowLayer: C 


)) 


其 中 ，objc_msgSend 的 参数 RO~ R3 很 容易 理解 ， 分 别 是 self、@selector(sendAction:to:from:forEvent:)、sendAction: 的 参数 和 to: 的 参数 ， 直 接 打印 寄存 器 就 可 以 了 。 注 意 ， 在 执行 “po$r2” 的 时 
候 ，LLDB 提 示 “no Objective-C description available”， 即 R2 不 是 一 个 Objective-C 对 象 ， 结 合 “action” 的 含义 ， 笔 者 猜测 它 是 一 个 SEL， 就 用 “p(char9$r2” 打 印 了 它 。 如 何 解析 栈 中 的 参数 呢 ? A 
为 SP 是 指向 栈 底 的 指针 ， 而 我 们 知道 余下 的 2 个 参数 都 在 栈 中 ， 且 大 小 均 为 1 个 字 ， 所 以 ， 可 用 “x/10$sp” 打 印 从 栈 底 开始 的 连续 10 个 字 ， 前 2 个 字 就 是 from: 和 forEvent: 的 参数 。Objective-(C 方 法 的 大 多 
数 参数 都 是 1 个 字 长 度 的 指针 ， 指 向 一 个 Objective-C 对 象 ， 因 此 我 们 “po” 了 前 2 个 字 ， 把 参数 打印 了 出 来 。 为 了 更 便于 理解 ， 这 里 SP、 栈 上 存储 的 值 和 参数 的 关系 ， 可 以 参考 图 6-26。 


SP + 0x24 

SP + 0x20=0x003911b8 
SP +0х1С 
SP + 0x18 
SP + 0x14 

SP + 0x10=0x00391 1a8 
SP + OxC 
SP + 0х8 


SP + 0x4 arg of forEvent: i.e. UITouchesEvent 


SP = 0x00391198 arg of from: i.e. ComposeButtonltem 


6-26 ”SP、 栈 值 和 参数 的 关系 
一 般 情况 下 ，Objective-C 方 法 在 栈 中 的 参数 不 会 超过 10 个 ，“x/10$sp” 就 足够 了 ， 挨 个 打印 ， 就 能 找到 栈 上 的 所 有 参数 。 


结合 IDA 和 LLDB， 我 们 知道 [UlBarButtonltem_sendAction:withEvent:] 的 核心 在 于 [MailAppController sendAction:@selector(composeButtonClicked:) to:nil from:ComposeButtonltem 
forEvent:UITouchesEvent]， 离 “编写 邮件 ”的 目标 函数 又 近 了 一 层 。 下 面 在 IDA 里 看 看 [UIApplication sendAction:to:from:forEvent:] 的 内 部 做 了 些 什么 ， 如 图 6-27 所 示 。 


$(:lowerl6:(selRef targetInChainForAction sender  - Ox24EBBCOA)) 
R4 
$(:upperl6:(selRef targetInChainForAction sender - Ox24EBBCOA)) 
R5 
PC ; selRef targetInChainForAction sender 
[R1] ; " targetInChainForAction:sender:" 

_objc_msgSend 

R6, RO 


#(:lowerl6: (selRef_performSelector_withObject_withObject_ - Ox24EBBC24)) 


R4 

#(:upperl6: (selRef_performSelector_withObject_withObject_ - Ox24EBBC24)) 
R5 

(SP, #0x14+var_14] 

PC ; selRef performSelector withObject withObject 

[RO] ; "performSelector:withObject:withObject:" 


LDR.W [SP*OxlO*var 10],#4 
POP {R4-R7 , PC} 
; End of function -[UIApplication sendAction:to:from:forEvent:] 


图 6-27 [UlApplication sendAction:to:from:forEvent:] 


无 论 如 何 ，loc_24ebbc10 中 的 “performSelector:withObject:withObject:” 都 会 得 到 执行 ， 我 们 自然 猜测 它 就 是 做 出 实际 操作 的 地 方 。 跟 刚才 一 样 ， 用 LLDB 看 看 这 个 方法 到 底 执行 了 什么 操作 。 
UIKit 的 ASLR 偏 移 是 0x6db3000， 最 下 面 的 那个 objc_msgsend 地 址 是 0x24EBBC26， 故 而 在 0x6db3000+0x24EBBC26=0x2BC6EC26 上 下 断 点 ， 然 后 按 下 “编写 邮件 ”按钮 触发 断 点 ， 再 看 看 这 个 方法 的 
参数 ， 如 下 : 


(lldb) br s -a 0x2BC6EC26 

Breakpoint 1: where = UIKit`-[UIApplication sendAction:to:from:forEvent:] + 66, address = 0x2bc6ec26 

Process 226191 stopped 

* thread #1: tid = 0x3738f, Ox2bc6ec26 UIKit`-[UIApplication sendAction: to:from:forEvent:] + 66, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: Ox2bc6ec26 UIKit'-[UIApplication sendAction:to:from:forEvent:] + 66 

UIKit'-[UIApplication sendAction:to:from:forEvent:] + 66: 


-> Ox2bc6ec26: blx 0x2c3539f8 ; symbol stub for: roundf$shim 
Ox2bc6ec2a: cmp r6, #0 
Ox2bc6ec2c: it ne 


Ox2bc6ec2e: movne гб, #1 
(114) p (char *)$г1 
(char *) $0 = 0x2c3dac95 "performSelector:withObject:withObject:" 
(11а) po $r0 
<ComposeButtonItem: 0Oxl4ddf5f0» 
(114) p (char *)$r2 
(char *) $2 = 0x2c4140f2 " sendAction:withEvent:" 
(lldb) po $r3 
<UIToolbarButton: 0x14d73c90; frame = (285 0; 23 44); opaque = NO; gesture Recognizers = «NSArray: 0x14d22ec0>; layer = <CALayer: 0x14d73ea0>> 
(1146) х/10 $sp 
0x003735a8: 0х160а6120 0x00000001 0x14d73c90 0x160a6120 
0x003735b8: Ox2c3d9be5 0x003735d4 Ox2bc6ebd1 0x14d73c90 
0x003735c8: 0x160a6120 0x00000040 
(114) po 0x160a6120 
<UITouchesEvent: 0x160a6120> timestamp: 73509.2 touches: { ( 
<UITouch: 0x14ff2f20> phase: Ended tap count: 1 window: <UIWindow: 0x14d878b0; frame = (0 0; 320 568); autoresize = WHH; gestureRecognizers = <NSArray: 0х1406а890>; layer 
)} 


这 是 怎么 回 事 ? performSelector:withObject:withObject:4 7 [ComposeButtonltem_sendAction:withEvent:], mri[ComposeButtonltem sendAction:withEvent:] XS% 
performselectorwithObject:withObject:， 如 果 它 再 次 调用 [ComposeButtonltem_sendAction:withEvent:]， 那 这 段 代码 就 出 现 循环 调用 了 ， 与 观察 到 的 现象 不 符 ， 也 是 不 合 常理 的 。 那 我 们 执行 一 
下 “c” 命令 ， 断 点 一 定 会 被 再 次 触发 ， 看 看 performSelector:withObject:withObject: 有 没有 发 生变 化 ， 如 下 : 


(11db) c 

Process 226191 resuming 

Process 226191 stopped 

* thread #1: tid = 0x3738f, 0х2рсбес26 UIKit'-[UIApplication sendAction:to:from:forEvent:] + 66, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame 40: Ox2bc6ec26 UIKit'-[UIApplication sendAction:to:from:forEvent:] * 66 

UIKit'-[UIApplication sendAction:to:from:forEvent:] + 66: 


-> 0х2рсбес26: blx 0x2c3539f8 ; symbol stub for: roundf$shim 
Ox2bc6ec2a: cmp гб, #0 
Ox2bc6ec2c: it ne 


Ox2bc6ec2e: movne гб, #1 
(1ldb) p (char *)$г1 
(char *) $6 = 0Ox2c3dac95 "performSelector:withObject:withObject:" 
(1140) po $r0 
<MailAppController: 0x14e7a7a0> 
(114) p (char *)$r2 
(char *) $7 = 0x2d763308 "composeButtonClicked:" 
(1140) po $r3 
<ComposeButtonItem: 0Oxl4ddf5f0» 
(lldb) x/10 $sp 
0x0037356c: 0х160а6120 0х160а6120 0x2d763308 0x14e7a7a0 
0x0037357c: 0x14ddf5f0 0x003735a0 Ox2bdd26fd Ox14ddf5f0 
0x0037358c: 0х160а6120 Ox160fbdf0 
(118) po 0x160a6120 
<UITouchesEvent: 0x160a6120> timestamp: 73509.2 touches: (( 
<UITouch: Ox14ff2f20» phase: Ended tap count: 1 window: <UIWindow: 0x14d878b0; frame = (0 0; 320 568); autoresize = WHH; gestureRecognizers = «NSArray: 0x14dba890>; layer 
)) 


可 以 看 到 ，performselectorwithObject:withObject: 的 参数 发 生 了 变化 ，[MailAppController composeButtonClicked:ComposeButtonltem] 得 到 了 调用 ， 如 果 再 “c” 一下， 发 现 断 点 不 再 触发 ， 


所 以 可 以 确定 执行 实际 操作 的 是 composeButtonClicked:。 因 为 在 MobileMail 内 部 ， 调 用 [UIApplication sharedApplication] 可 以 拿 到 MailAppController 对 象 ; 而 在 本 小 节 开 始 的 时 候 ， 我 们 在 
ComposeButtonltem.h 里 看 到 了 可 以 通过 一 个 类 方法 +composeButtonltem 来 拿 到 ComposeButtonltem 对 象 ;所 以 我 们 可 以 拿 到 调用 [MailAppController 
composeButtonClicked:ComposeButtonltem] 所 需 的 全 部 对 象 ， 且 在 MobileMail 的 内 部 任何 地 方 都 可 以 调用 这 个 方法 ， 它 可 以 算 作 是 “编写 邮件 ”的 目标 函数 了 。 


在 Cycript 里 做 最 后 测试 ， 看 看 这 个 目标 函数 是 否 好 用 ， 命 令 如 下 : 


FunMaker-5:~ root# cycript -р MobileMail 
Cy# [UIApp composeButtonClicked: [ComposeButtonItem composeButtonItem] ] 


执行 后 成 功 调 出 “编写 邮件 ”界面 。 在 本 例 中 ， 我 们 用 IDA 追 踪 函 数 的 调用 链 ， 找 到 目标 函数 ， 然 后 用 LLDB 解 析出 了 它 的 参数 ， 虽 然 有 点 复杂 ， 但 其 实 不 难 ， 不 是 吗 ” 接 下 来 ， 将 用 类 似 的 套路 来 找 
出 “获取 本 机 号 码 ” 的 目标 函数 ， 请 大 家 注意 总 结 。 


2. 寻 找 “ 获 取 本 机 号 码 ”的 目标 函数 


接着 上 面 的 内 容 ， 根 据 找 到 的 UI 函 数 [PhoneSettingsController tableView:cellForRowAtlndexPath:] 继 续 往 下 分 析 。 因 为 UI 函 数 的 返回 值 存放 在 R0 中 ， 而 从 图 6-17 的 “MOV R0,R4” 可 知 ，R0 来 自 
R4, f£[PhoneSettingsController tableView:cellForRowAtlndex Path:] 里 ，R4 只 在 图 6-28 里 的 “MOV R4,R0” 处 被 赋值 了 一 次 ， 这 里 的 RO 来 自 objc_msgSendSuper2 执 行 后 的 返回 值 。 
objc_msgSendSuper2 没 有 出 现在 文档 中 ， 由 图 6-29 可 知 ， 它 来 自 “/usr/lib/libobjc.A.dylib”。 


按 字面 意思 理解 ，objc_msgSendSuper2 的 作用 应 该 跟 objc_msgSendSuper 类 似 ， 即 向 调用 者 的 父 类 发 送 消 息 。 不 用 做 过 多 猜测 ， 在 这 个 objc_msgSendSuper2 下 个 断 点 ， 看 看 它 的 参数 和 返回 值 就 
知道 了 。 用 debugserver 附 加 Preferences， 用 LLDB 连 接 ， 然 后 打印 出 MobilePhonesettings 的 ASLR 偏 移 ， 如 下 : 


; id _ cdec1 -[PhoneSettingsController tableView:cellForRowAtIndexPath:] 
. PhoneSettingsController tableView cellForRowAtIndexPath Á 


var 14= -0x14 
var 10-7 -0x10 


(R4-R7,LR) 


#(classRef_PhoneSettingsController -~ 0x25BB2B58) 
[SP,fOxl4*var 14] 
R3 
PC ; classRef PhoneSettingsController 
[RO] ; OBJC CLASS $ PhoneSettingsController 
f(selRef tableView cellForRowAtIndexPath  - Ox25BB2E 
PC ; selRef tableView cellForRowAtIndexPath 
[R1] ; "tableView:cellForRowAtIndexPath:" 
[SP,fOxl4*var 10] 
SP 
objc msgSendSuper2 
, RO 


6-28 R46 R 


Imports from /usr/lib/libobjc.A.dylib 


IMPORT OBJC CLASS $ NSObject 
DATA XREF: 
-[PhoneSet 
IMPORT OBJC METACLASS $ NSObject 
DATA XREF: 
.. objc dat 
IMPORT £objc personality vO 
IMPORT _ objc empty cache 
IMPORT imp objc_getProperty 
; CODE XREF: 
; DATA XREF: 
IMPORT imp objc_msgSend ; CODE 
; DATA XREF: 
. imp objc msgSendSuper2 


图 6-29  objc msgSendSuper2 65 ЖЖ 


lldb) image list -o -f 
0] 0x00079000 /private/var/db/stash/ .291MeZ/Applications/Preferences.app/Preferences (0x000000000007d000) 
1] 0x00232000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x0000000000232000) 
2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411)/Symbols/System/library/PrivateFrameworks/BulletinBoard.framework/BulletinBoard 
3] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (128411) /Symbols/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation 


[330] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/System/Library/PreferenceBundles/MobilePhoneSettings.bundle/MobilePhoneSettinc 


MobilePhoneSettings 的 ASLR 偏 移 是 0x6db3000。 然 后 看 看 objc_msgSendSuper2 的 地 址 ， 如 图 6-30 所 示 。 


断 点 的 地 址 应 该 是 0x6db3000+0x25BB2B68=0x2C965B68。 返 回 上 一 级 目录 ， 再 进入 MobilePhoneSettings 触 发 断 点 ， 如 下 : 


id _ cdecl -[PhoneSettingsController tableView:cellForRowAtIndexPath:](st 
. PhoneSettingsController tableView cellForRowAtIndexPath 
; DATA XREF: _ objc const:3044E378,o 


var 14 
var 10 


{R4-R7,LR} 
SP, #0xC 
SP, #8 
RO 
$(classRef PhoneSettingsController - 0x2 
[SP] 
R3 
PC ; classRef PhoneSettingsController 
[RO] ; OBJC CLASS $ PhoneSettingsContro 
$(selRef tableView cellForRowAtIndexPath 
PC ; selRef tableView cellForRowAtIndexPa 
[R1] ; "tableView:cellForRowAtIndexPath:" 
[SP, #4] 
SP 

_objc_msgSendSuper2 


图 6-30 ”查看 objc_msgSendSuper2 的 地 址 


(lldb) br s -a 0x2C965B68 

Breakpoint 1: where = MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 40, address = 0x2c965b68 

Process 268587 stopped 

* thread #1: tid = 0x4192b, 0x2c965b68 MobilePhoneSettings*-[PhoneSettings Controller tableView:cellForRowAtIndexPath:] + 40, queue = 'com.apple.main-thread, stop reason = brea 
frame 40: 0x2c965b68 MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 40 

MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 40: 

-> 0x2c965b68: blx 0x2c975£b8 ; symbol stub for: CTSettingRequest$shim 
Ox2c965b6c: mov r4, rO 
0х2с965рбе: шоун r0, #54708 
0x2c965b72: movt r0, 42697 

(114) p (char *)$г1 

(char *) $0 = 0x2c3daf33 "tableView:cellForRowAtIndexPath:" 

(11а) po $r0 

[no Objective-C description available] 

(1140) ni 

Process 268587 stopped 

* thread #1: tid = 0x4192b, 0x2c965b6c MobilePhoneSettings*-[PhoneSettings Controller tableView:cellForRowAtIndexPath:] + 44, queue = 'com.apple.main-thread, stop reason = inst 
frame #0: 0x2c965b6c MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 44 

MobilePhoneSettings'-[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 44: 

-> 0x2c965b6c: mov r4, тб 


0x2c965b6e: movw r0, #54708 
0x2c965b72: тоу r0, #2697 
0x2c965b76: mov к?» £5 
(lldb) po $r0 
<PSTableCell: Ox15fc6b00; baseClass = UITableViewCell; frame = (0 0; 320 44); text = 'My Number'; tag = 2; layer = «CALayer: 0x15fbbe40>> 
(lldb) ро [Sr0 detailTextLabel] 
<UITableViewLabel: 0x15fb5590; frame = (0 0; 0 0); text = '+86PhoneNumber'; userInteractionEnabled = NO; layer = <_UILabelLayer: 0х15#087е0>> 


值得 一 提 的 是 ，objc_msgSendSuper2 的 第 一 个 参数 并 不 是 一 个 Objective-C 对 象 ， 我 不 清楚 这 到 底 是 LLDB 的 bug， 还 是 情况 确实 如 此 ， 但 这 不 影响 本 节 的 分 析 ， 忽 略 这 个 细节 就 好 。 感 兴趣 的 朋友 可 
以 继续 研究 ， 然 后 在 http://bbs.iosre.com 分 享 你 的 发 现 。 


话说 回来 ，LLDB 的 输出 结果 预示 着 objc_msgSendSuper2 的 返回 结果 就 是 初始 化 好 的 cell， 里 面 已 经 含有 了 本 机 号 码 信息 。 跟 上 一 节 类 似 ， 到 PhoneSettingsController 的 父 类 里 看 看 
tableView:cellForRowAtindexPath: 的 实现 。 首 先 打开 PhoneSettingsController.h， 看 看 它 的 父 类 是 谁 ， 如 下 : 


@interface PhoneSettingsController : PhoneSettingsListController <TPSetPINViewControllerDelegate> 


end 


可 以 看 到 ，PhoneSettingsController 继 承 自 PhoneSettingsListController， 再 打开 Phone-SettingsListController.h， 看 看 它 有 没有 实现 tableView:cellForRowAtindexPath: 方 法 ， 如 下 : 


@interface PhoneSettingsListController : PSListController 


(id) bundle; 

(void) dealloc; 

(id) init; 

(void) pushController: (Class) argl specifier: (id) arg2; 

(id) setCellEnabled: (BOOL) argl atIndex: (unsigned int) arg2; 
(id) setCellLoading: (BOOL)argl atIndex: (unsigned int) arg2; 
(id) setControlEnabled: (BOOL)argl atIndex: (unsigned int) 
arg2; 

- (id) sheetSpecifierWithTitle: (id)argl controller: (Class) arg2 
detail: (Class) arg3; 

- (void) simRemoved: (id) argl; 

- (id) specifiers; 

- (void) updateCellStates; 

- (void) viewWillAppear: (BOOL) argl; 

@end 


LE їч 


可 见 ，PhonesSettingsListController 没 有 实现 tableView:cellForRowAtlndexPath:， 继 续 去 它 的 父 类 PSsListController 里 看 看 。PSListController 已 经 不 在 MobilePhonesSettings.bundle 里 了 ， 用 上 一 
章 介绍 的 搜索 方法 ， 很 容易 就 可 以 在 所 有 class-dump 头 文件 里 定位 PSListController.h， 如 图 6-31 所 示 。 


555 Xt ff (am) Q МАМЕ» PSListController 


Search: This Мас XIJ Shared 
Name Date Last Opened 


fi PSListControllerh C Hea...rce File Today, 1:24 PM 


Ф snakeninny > Ёш Code * [m iOSPrivateHeaders » [bg 8.1 » ш PrivateFrameworks > [bg Preferences > +» PSListController.h 


图 6-31 定位 PSListController.h 


注意 ，PSListController.h 来 自 与 Preferences.app 同 名 的 Preferences.framework， 请 大 家 注意 分 辨 。 打 开 它 ， 看 看 有 没有 实现 tableView:cellForRowAtlndexPath: 方 法 ， 如 下 : 


@interface PSListController : PSViewController <UITableViewDelegate, UITableView DataSource, UIActionSheetDelegate, UIAlertViewDelegate, UIPopoverControllerDelegate, PSSpecifie 


二 Gd) tableView: (id)argl cellForRowAtIndexPath: (id)arg2; 
lend 


可 以 看 到 ， 它 确实 实现 了 这 个 方法 ， 在 IDA 中 打开 Preferences.framework 里 的 二 进 制 文件 ， 定 位 到 tableView:cellForRowAtlndexPath:， 如 图 6-32 所 示 。 


| 


-[PSListController tableView:cellForRowAtIndexPath: 


图 6-32 [PSListController tableView:cellForRowAtIndexPath:] 


它 的 实现 逻辑 有 些 复 杂 ， 为 了 保险 起 见 ， 先 在 它 的 尾部 下 一 个 断 点 ， 看 看 返回 值 里 是 否 含有 “本 机 号 码 ”信息 ， 确 认 objc_msgSendSuper2 是 否 调用 了 [PSListController 
tableView:cellForRowAtlndexPath:]。 先 看 看 Preferences.framework 的 ASLR 偏 移 ， 如 下 : 


(1140) image list -o -f 

[ 0] 0x00079000 /private/var/db/stash/ .291MeZ/Applications/Preferences.app/Preferences (0x0000000000074000) 

[ 1] 0x00232000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x0000000000232000) 

[ 2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBoard.framework/BulletinBoard 
[ 3] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/System/Library/Frameworks/CoreFoundation. framework/CoreFoundation 

[ 42] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411)/Symbols/System/Library/PrivateFrameworks/Preferences.framework/Preferences 


它 的 ASLR 偏 移 是 0x6db3000。 然 后 看 看 [PSListController tableView:cellForRowAtlndexPath:] 尾 部 指令 的 地 址 ， 如 图 6-33 所 示 。 


ТРЕ ; - 
— text : 2A9F79E6 j -[PSListController tableView: 
— text : 2A9F79E6 RO, R6 
text: 2A9F79E8 SP, SP, #0х1С 


[ text:2A9F79EA {R8,R10,R11} 
__text:2A9F79EE {R4-R7 , PC} 
| text:2A9F79EE ; End of function -[PSListController tableView:cellForRowAtIndexPath: ] 


图 6-33 [PSListController table View:cellForRowAtIndexPath:] 


因为 返回 值 存放 在 RO 中 ， 而 RO 来 自 “MOV R0,R6”， 即 R6， 所 以 在 这 条 指令 上 下 一 个 断 点 ， 然 后 打印 R6。 这 条 指令 的 地 址 是 0x2A9F79E6， 因 此 断 点 的 地 址 是 
0x6db3000+0x2A9F79E6=0x317AA9E6。 返 回 上 一 页 再 重新 进入 MobilePhoneSettings， 触 发 断 点 ， 如 下 : 


(lldb) br s -a 0x317AA9E6 
Breakpoint 5: where = Preferences" -[PSListController tableView:cellForRowAtIndexPath:] + 1026, address = 0x317aa9e6 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9e6 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 1026, queue = 'com.apple.main-thread, stop reason = breakpoint 5.1 
frame #0: 0x317aa9e6 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 1026 
Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 1026: 
-» 0x317aa9e6: mov rÜ, r6 
0x317aa9e8: ада sp, #28 
0x317aa9ea: pop.w (r8, r10, r11} 
0x317aa9ee: pop (r4, r5, r6, r7, pc) 
(lldb) po $r6 
<PSTableCell: 0х15#8сба0; baseClass = UITableViewCell; frame = (0 0; 320 44); text = 'My Number'; tag = 2; layer = «CALayer: 0x15f7c0b0>> 
(114) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7b8d0; frame = (0 0; 0 0); text = '+86PhoneNumber'; userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15f7b990>> 


从 LLDB 的 输出 可 以 确认 objc_msgSendSuper2 调 用 了 [PSListController tableView:cellForRowAtlndexPath:]， 且 它 的 返回 值 来 自 于 R6。 那 R6 来 自 于 哪里 呢 ? 当 我 们 往 上 回溯 ， 查 找 R6 来 源 的 时 候 ， 
可 以 看 到 R6 作 为 objc_msgSend 的 第 一 个 参数 ， 多 次 出 现在 了 这 个 方法 内 部 ， 如 图 6-34 所 示 。 


#(:lower16:(selRef_setSpecifier_ - Ox2A9F79AA)) 
R11 

#(:upper16:(selRef_setSpecifier_ - Ox2A9F79AA)) 
PC ; selRef_setSpecifier_ 

RO] ; "setSpecifier:" 


_objc_msgSend 
$(:lowerl6:(selRef refreshCellContentsWithSpecifier - Ox2A9F7 
R11 
f(:upperl6:(selRef refreshCellContentsWithSpecifier  - Ox2A9F7 
PC ; selRef refreshCellContentsWithSpecifier 
RO] ; "refreshCellContentsWithSpecifier:" 


_objc_msgSend 
$( OBJC IVAR $ PSListController. forceSynchronousIconLoadFo 
PC ; char forceSynchronousIconLoadForCreatedCells; 
[RO] ; char forceSynchronousIconLoadForCreatedCells; 
[R4,R0] 
loc 2A9F79E6 


#(selRef_forceSynchronous IconLoadOnNext IconLoad 
PC ; selRef forceSynchronousIconLoadOnNextIconLo 
RO] ; "forceSynchronousIconLoadOnNextIconLoad" 


6-34 R6 出 现 频率 很 高 


再 往 上 一 点 ， 会 发 现 往 R6 里 写 入 的 ， 都 是 刚刚 初始 化 的 各 种 对 象 ， 如 图 6-35、 图 6-36、 图 6-37 所 示 。 


R11, [SP,fOx34*var 34] 

RO, PC ; selRef initWithStyle reuseIdentifier specifier 
Rl, b" ; “initWithStyle:reuseIdentifier:specifier"... 
RO, 

objc msgSend 


R1, #(selRef_autorelease - 0x2A9F784C) ; selRef autorelease 
R1, PC ; selRef autorelease 
R1, [R1] ; "autorelease" 
objc msgSend 
, RO 


6-35 ROMA (1) 


这 个 现象 很 好 理解 ，tableView:cellForRowAtlndexPath: 的 作用 本 来 就 是 返回 一 个 可 用 的 cell。 因 此 ， 常 规 的 做 法 是 在 方法 内 部 先 创建 一 个 空 的 cell， 然 后 调用 别 的 函数 来 配置 它 。 那 么 ， 从 一 个 空 的 
PSTableCell 到 含有 “本 机 号 码 ” 信 息 的 这 个 配置 过 程 发 生 在 哪里 呢 ? 现在 已 知 头 部 的 PSTableCell 不 含有 本 机 号 码 ， 尾 部 的 PSTableCell 含 有 本 机 号 码 ， 所 以 这 个 设置 过 程 一 定 是 发 生 在 
tableView:cellForRowAtlndexPath: 内 部 的 ， 且 是 通过 一 个 objc_msgsend 函 数 完 成 的 。 因 此 ， 现 在 的 问题 变 成 了 ， 在 一 堆 objc_msgSend 函 数 中 ， 怎 么 去 定位 那个 设置 “本 机 号 码 ” 的 objc_ msgSend? 


loc_2A9F7874 
#(:lowerl6:(selRef_initWithStyle reuseIden 
R5 
$(:upperl6:(selRef initWithStyle reuseIdent 
#0 


PC ; selRef_initWithStyle_reuseIdentifier_ 
RO] ; "initWithStyle:reuseIdentifier:" 


_objc_msgSend 
R1, #(selRef_autorelease - 0x2A9F7896) ; selRef 
R1, РС ; selRef autorelease 
R1, [R1] ; "autorelease" 
objc msgSend 
RO 


г 


16-36 ”R6 被 赋值 (2) 


_objc_msgSend 

R8, RO 

RO, #(selRef_ alloc - Ox2A9F77EE) 
RO, PC ; selRef alloc 


R1, [RO] ; “alloc” 
RO, R5 
objc msgSend 
, RO 


6-37 R6 被 赋值 (3) 


如 果 不 考虑 效率 ， 可 以 从 头 开 始 一 个 个 排查 。table-View:cellForRowAtlndexPath: 内 部 的 objc_msgSend 个 数 毕 竟 有 限 ， 在 执行 objc_msgSend 之 前 和 之 后 各 打印 一 次 [$r6 detailText-Labell]， 对 比 两 
者 的 异同 ， 就 一 定 可 以 找到 这 个 objc_ msgSend; 数学 比较 好 的 朋友 可 能 用 二 分 法 ， 从 tableView:cellForRow-AtindexPath: 中 间 部 分 的 某 个 objc_msgSend 开 始 找 ， 不 断 缩 小 排查 范围 。 这 就 是 见仁见智 的 
问题 了 ， 大 家 选择 一 种 自己 喜欢 的 方式 就 好 。 在 这 里 ， 笔 者 采取 了 折 中 的 二 分 法 ， 如 图 6-38 所 示 。 


-IPSListController tableView:cellForRowAtlndexPath: 


图 6-38 [PSListControllertableView: cellForRowAtIndexPath:] 


采用 二 分 查找 法 固然 效率 高 ， 但 [PSListController tableV-iew:cellForRowAtlndexPath:] 的 分 支 很 多 ， 从 哪个 地 方 分 ， 可 以 保证 不 遗漏 每 一 个 分 支 呢 ? 因为 [PSListController tableVi- 
ew:cellForRowAtlndexPath:] 的 执行 一 定 会 通过 图 6-38 所 示 的 深 色 方块 ， 所 以 以 这 个 地 方 为 二 分 点 肯定 不 会 遗漏 任何 分 支 ， 然 后 从 它 的 第 一 个 objc_msgSsend 开 始 排查 ， 如 果 [$r6 detailTextLabell SAA 
机 号 码 信息 ， 那 么 就 往 上 找 ， 否 则 往 下 找 。 我 们 去 看 看 这 个 深 色 方 块 包含 的 汇编 指令 ， 如 图 6-39 所 示 。 


#(selRef_class - Ox2A9F797A) ; selRef_class 
#(classRef_PSTableCell - Ox2A9F797C) ; classRef_PSTableCell 
PC ; selRef_class 
; classRef PSTableCell 
"class" 
.OBJC CLASS $ PSTableCell 


#(selRef_isKindOfClass_ - 0x2A9F7990) ; selRef isKindOfClass 
PC ; selRef isKindOfClass - 
[RO] ; "isKindOfClass:" 
R6 
_objc_msgSend 
RO, #0xFF 
loc_2A9F79E6 


图 6-39 深 色 方块 所 在 的 loc_2a9f7966 


这 里 有 2 个 objc_msgSend， 就 从 最 上 面 这 一 个 开始 吧 ， 看 看 它 的 地 址 ， 如 图 6-40 所 示 。 


2A9F7966 loc 2A9F7966 ; CODE XREF: -[PSListController 
2A9F7966 ; -[PSListController tableView:c 
2A9F7966 &(selRef. class - 0x2A9F797A) ; selRe 
2A9F796E $(classRef PSTableCell - 0x2A9F797C) 
2A9F7976 PC ; selRef class 

2A9F7978 PC ; classRef PSTableCell 

2A9F797A [RO] ; "class" 

2A9F797C [R2] ;  OBJC CLASS $ PSTableCell 


2A9F797E _objc_msgSend 

2A9F7982 R2, RO 

2A9F7984 RO, #(selRef_isKindOfClass_ - 0x2A9F7990 
2A9F798C RO, PC ; selRef_isKindOfClass_ 

2А9Е798Е R1, [RO] ; "isKindOfClass: " 

2A9F7990 RO, R6 

2A9F7992 _objc_msgSend 


6-40 ”查看 objc_msgSend 的 地 址 


Preferences 的 ASLR 偏 移 是 0x6db3000， 刚 才 已 经 用 到 了 ， 所 以 断 点 的 地 址 是 0x6db3000+0x2A9F797E=0x317AA97E。 触 发 它 ， 看 看 此 时 PSTableCell 是 否 含有 本 机 号 码 信息 ， 如 下 : 


(1146) br s -a 0x317AA97E 
Breakpoint 10: where = Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 922, address = 0х317аа97е 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0х317аа97е Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 922, queue = 'com.apple.main-thread, stop reason = breakpoint 10.1 
frame #0: 0x317aa97e Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 922 
Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 922: 
-> 0x317aa97e: blx 0x31825f04 ; symbol stub for: NETRBClientResponseHandler block_invoke 
0x317aa982: mov r2, x0 
0x317aa984: тоун r0, #59804 
0x317aa988: movt тб, #1736 
(1140) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15fd1c90>> 


它 还 不 含有 本 机 号 码 信息 ， 说 明 本 机 号 码 信息 一 定 是 在 图 6-38 深 色 方 块 下 方 的 3 个 方块 里 生成 的 。 接 着 执行 “ni” 命 令 ， 在 每 个 objc_msgSend 的 前 后 各 “po[$r6 detailTextLabell" —X, MIT: 


(lldb) ni 

Process 268587 stopped 

* thread #1: tid = 0x4192b, 0x317aa982 Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 926, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame #0: 0x317aa982 Preferences*-[PSListController tableView:cellForRowAtIndexPath:] + 926 

Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 926: 

-> 0x317aa982: mov r2, x0 
0x317aa984: movw r0, #59804 
0x317aa988: movt r0, #1736 
0x317aa98c: ада r0, pc 

(114) po [Sr6 detailTextLabel] 

<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15fd1c90>> 

(lldb) ni 

Process 268587 stopped 

* thread #1: tid = 0x4192b, 0x317aa992 Preferences" -[PSListController tableView:cellForRowAtIndexPath:] + 942, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame 40: 0x317aa992 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 942 

Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 942: 


-> 0x317aa992: blx 0x31825f04 ; Symbol stub for: NETRBClientResponseHandler block invoke 
0x317aa996: tst.w r0, #255 
0x317aa99a: beq 0x317aa9e6 ; -[PSListController tableView:cellForRowAtIndexPath:] + 1026 


0x317aa99c: movw r0, #60302 
(114) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15fd1c90>> 
(1140) ni 
Process 268587 stopped 


* thread #1: tid = 0x4192b，0x317aa996 Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 946, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame #0: 0х317аа996 Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 946 
Preferences`-[PSListController tableView:cellForRowAtIndexPath:] + 946: 
-> 0x317aa996: tst.w r0, #255 
0x317aa99a: beq 0x317aa9e6 ; -[PSListController tableView:cellForRowAtIndexPath:] + 1026 
0x317aa99c: movw r0, #60302 
0x317aa9a0: mov r2, ril 
(114) po [$r6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15fd1c90>> 
(11840) ni 


Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9ac Preferences" -[PSListController tableView:cellForRowAtIndexPath:] + 968, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame #0: 0x317aa9ac Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 968 
Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 968: 
-> 0x317aa9ac: blx 0x31825f04 ; Symbol stub for: NETRBClientResponseHandler block invoke 
0x317aa9b0: movw r0, #60822 
0x317aa9b4: тоу E2, EIL 
0x317aa9b6: тоу r0, #1736 
(1140) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9b0 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 972, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame 40: 0x317aa9b0 Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 972 
Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 972: 
-> 0x317aa9b0: movw r0, #60822 
0x317aa9b4: mov x25 Xil 
0x317aa9b6: movt r0, #1736 
0x317aa9ba: add r0, pc 
(1140) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = < UlLabellayer: 0x15fd1c90>> 
(lldb) ni 


Process 268587 stopped 
* thread #1: tid = 0x4192b, 0х317аа9с0 Preferences" -[PSListController tableView:cellForRowAtIndexPath:] + 988, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame #0: 0х317аа9с0 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 988 
Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 988: 
-> 0x317aa9c0: blx 0x31825f04 ; symbol stub for: NETRBClientResponseHandler block invoke 
0x317aa9c4: movw r0, #4312 
0x317aa9c8: тоу r0, #1737 
0x317aa9cc: ада r0, pc 
(114) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); userInteractionEnabled = NO; layer = <_UILabelLayer: 0x15fd1c90>> 
(114) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9c4 Preferences" -[PSListController tableView:cellForRowAtIndexPath:] + 992, queue = 'com.apple.main-thread, stop reason = instruction step ov 
frame #0: 0x317aa9c4 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 992 
Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 992: 
-» 0x317aa9c4: movw r0, #4312 
0x317aa9c8: тоу rO, #1737 
0х317аа9сс: ада rü, pc 
0x317aa9ce: ldr r0, [r0] 
(114) po [Sr6 detailTextLabel] 
<UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); text = '+86PhoneNumber'; userInteractionEnabled = NO; layer = < UlLabelLayer: 0х15#01с90>> 


在 0x317aa9c0 处 的 objc_msgSend 前 后 PSTableCell 的 本 机 号 码 信息 发 生 了 变化 ，0x317aa9c0-0x6db3000=0x2A9F79C0， 在 IDA 中 定位 到 这 个 objc_msgSend， 如 图 6-41 所 示 。 


|, text:2A9F79BC 
text:2A9F79BE 


text :2A9F79CO 


P 


6-41 设置 本 机 号 码 的 objc_msgSend 


“用 specifier 刷 新 cell 的 内 容 ”， 这 个 方法 的 作用 显而易见 ， 我 们 看 看 这 个 specifier 是 什么 。 在 这 个 objc_msgSend 上 下 个 断 点 ， 触 发 后 ， 打 印 它 的 参数 ， 如 下 : 


(lldb) br s -a 0x317AA9CO 

Breakpoint 11: where = Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 988, address = 0x317aa9cO 

Process 268587 stopped 

* thread #1: tid = 0x4192b, 0х317аа9с0 Preferences" -[PSListController tableView:cellForRowAtIndexPath:] + 988, queue = 'com.apple.main-thread, stop reason = breakpoint 11.1 

frame #0: 0х317аа9с0 Preferences -[PSListController tableView:cellForRowAtIndexPath:] + 988 

Preferences '-[PSListController tableView:cellForRowAtIndexPath:] + 988: 

-> 0х317аа9с0: blx 0x31825f04 ; symbol stub for: NETRBClientResponseHandler block invoke 
0x317aa9c4: movw r0, 44312 = T 
0x317aa9c8: тоу rO, #1737 
0x317aa9cc: add r0, pc 

(114) p (char *)$г1 

(char *) $97 = 0x318362d2 "refreshCellContentsWithSpecifier:" 


(lldb) po $r2 

My Numbe ID:myNumberCell 0x170ece60 target :<PhoneSettingsController 0x170ed760: navItem «UINavigationItem: 0x170d0b40>, view <UITableView: 0xl6acb200; frame = (0 0; 
(114) po [Sr2 class] 

PSSpecifier 


可 以 看 到 ，specifier 是 一 个 PSspecifier 对 象 ， 而 且 与 本 机 号 码 相关 。 如 果 你 在 第 5 章 的 PreferenceBundle 部 分 仔细 阅读 过 preferences specifier plist 标 准 ， 就 知道 PSTableCell 的 内 容 是 由 PSSpecifier 


定 的 ， 因 此 可 以 通过 [PSSpecifier propertyForKey:@” set”] 和 [PSSpecifier propertyForKey:@”get”] 拿 到 PSSpecifier 的 setter 和 getter， 如 下 : 


(lldb) po [$r2 propertyForKey:@"set"] 
setMyNumber: specifier: 

(lldb) po [$r2 propertyForKey:@"get"] 
myNumber : 


还 可 以 通过 [PSSpecifier target] 拿 到 它们 的 target， 如 下 : 


(114) ро [Sr2 target] 
<PhoneSettingsController 0x170ed760: navItem «UINavigationItem: 0x170d0b40>, view <UITableView: 0х1баср200; frame = (0 0; 320 568); autoresize = WHH; gestureRecognizers = «NSAr 


非常 好 ， 现 在 我 们 知道 PSTableCell 的 本 机 号 码 是 通过 [PhoneSettingsController setMy Number:specifier:] 方 法 设置 的 ， 通 过 [PhoneSettingsController myNumber:] 读 取 的 (你 对 它 俩 还 有 印象 


吗 ? ) , ЯВА, 在 myNumber: 内 部 ， 就 一 定 有 获取 本 机 号 码 的 方法 ， 如 图 6-42 所 示 。 


; PhoneSettingsController - (id)myNumber: (id) 
; Attributes: bp-based frame 


; id _ cdecl -[PhoneSettingsController myNumber:] (struct PhoneSettingsController *self, SEL, id) 
. PhoneSettingsController myNumber _ 


var 10= -0x10 
(R4-R7,LR) 


$(selRef telephony - 0x25BB3FCA) ; selRef telephony 
R2 
f(:1owerl6:(classRef PhoneSettingsTelephony - 0x25BB3FD2)) 
PC ; selRef telephony 
$(:upperi6:(classRef PhoneSettingsTelephony - 0x25BB3FD2)) 
[RO] ; "telephony" 
PC ; classRef PhoneSettingsTelephony 
[R2] ; OBJC CLASS $ PhoneSettingsTelephony 
_objc_msgSend 
R1, #(selRef_myNumber - O0x25BB3FE2) ; selRef myNumber 
R1, PC ; selRef myNumber 
R1, [R1] ; "myNumber" 
objc msgSend 
RO 


, 
.UlUnformattedPhoneNumberFromString 
R2, RO 


6-42 [PhoneSettingsController myNumber:] 


[PhoneSettingsController myNumber:] 的 逻辑 比较 简单 ， 就 是 看 [[PhoneSettingsTelephony telephonyl]myNumben] 的 长 度 是 否 为 0， 如 果 不 为 0， 它 就 是 本 机 号 码 ， 否 则 返回 一 个 “未 知 号 码 ”， 


告诉 用 户 无 法 读 取 本 机 号 码 。 用 Cycript 测 试 一 下 这 个 方法 ， 如 下 : 


FunMaker-5:~ root# cycript -p Preferences 
cy# [[PhoneSettingsTelephony telephony] myNumber] 
@"+86PhoneNumber" 


现在 ， 退 出 Preferences， 把 它 从 后 台 彻 底 关 掉 后 重新 打开 ， 不 要 进入 MobilePhonesettings 界 面 ， 再 测试 一 次 这 个 方法 ， 如 下 : 


FunMaker-5:~ root# cycript -p Preferences 
cy# [[PhoneSettingsTelephony telephony] myNumber] 
ReferenceError: Can't find variable: PhoneSettingsTelephony 


出 现 了 错误 ， 这 是 怎么 回 事 ? 那 是 因为 PhoneSettingsTelephony 是 MobilePhoneSettings.bundle 中 的 一 个 类 ， 如 果 不 进 入 MobilePhoneSettings 界 面 ， 这 个 bundle 是 不 会 加 载 的 ， 所 以 这 个 类 也 是 


不 存在 的 。 也 就 是 说 ， 要 调用 这 个 方法 ， 需 要 先 加 载 MobilePhoneSettings.bundle。Preference.app 加 载 MobilePhoneSettings.bundle 的 方式 被 称 为 延迟 加 载 (lazy load) 
状况 的 时 候 很 多 ， 当 你 碰 到 时 ， 欢 迎 来 http://bbs.iosre.com 跟 大 家 交流 心得 。 


， 在 iOS 逆 向 工程 中 出 现 类 似 


其 实 到 此 为 止 ， 可 以 认为 我 们 已 经 找到 了 目标 函数 ， 因 为 我 们 拿 到 了 这 个 方法 的 调用 者 和 人 参数， 而且 这 个 方法 不 涉及 UI 操作 ， 调 用 起 来 干净 利落 。 但 有 一 点 让 人 不 爽 的 是 ， 调 用 这 个 方法 前 必须 加 载 


MobilePhoneSettings.bundle。 有 没有 办 法 去 掉 这 个 硬指标 ， 让 我 们 不 需要 加 载 这 个 bundle 就 能 拿 到 本 机 号 码 呢 ? 应 该 存在 这 么 一 个 方法 。 因 为 本 机 号 码 是 存储 在 SIM 卡 上 的 ， 所 以 
[PhoneSettingsTelephony myNumber] 的 原始 数据 源 应 该 来 自 SIM 卡 ， 而 能 够 访问 SIM 卡 的 显然 不 止 MobilePhoneSetting.bundle， 因 此 底层 一 定 存在 更 通用 的 访问 SIM 卡 的 库 ， 如 果 能 定位 到 这 个 库 ， 


估计 就 可 以 直接 读 取 本 机 号 码 了 。 既 然 是 一 个 更 底层 的 库 ， 那 么 自然 要 从 [PhoneSettingsTelephony myNumber] 入 手 ， 看 看 它 的 内 部 是 如 何 读 取 本 机 号 码 的 ， 如 图 6-43 所 示 。 


它 的 逻辑 也 比较 简单 ， 先 取出 实例 变量 myNumber， 如 果 它 不 是 nil， 则 走 左边 并 记录 “My Number requested, и cached value: %@” ， 即 返回 一 个 缓存 中 的 数据 ; 否则 走 右边 ， 先 调用 


PhonesettingsCopyMyNumber 函 数 取 得 本 机 号 码 ， 再 记录 “My Number requested,no cached value,fetched: %@” ， 即 没有 在 缓存 中 找到 本 机 号 码 ， 返 回 一 个 现 取 的 数据 。 因 此 ， 调 
PhoneSettingsCopyMyNumber 可 以 取得 本 机 号 码 ， 但 从 名 字 来 看 ， 它 仍然 是 MobilePhoneSettings.bundle 里 的 一 个 函数 ， 在 这 个 bundle 外 不 能 调用 ， 看 来 我 们 挖 得 还 不 够 深 。 


做 了 些 什 么 ， 如 图 6-44 所 示 。 


id _ cdecl Ris pad myNumber] (struct PhoneSettingsTelephony *self, SEL) 
| PhoneSettingsTelephony | Ес 

-0x24 

-0x20 

-0x1C 

-0x18 


(R4-R7,LR) 
R7, SP, #0хС 
(R8,R10) 

SP, SP, #0х10 


继续 看 看 这 个 函数 内 部 


R10, #(:lowerl6:(_OBJC_IVAR_$_PhoneSettingsTelephony. myNumber - 0x25BB6300)) ; NSString * myNumber; 


Rå, RO 


R10, $(:upperl6:( OBJC IVAR $ PhoneSettingsTelephony. myNumber - 0x25BB6300)) ; NSString * myNumber; 


R10, PC ; NSString *  myNumber; 
R6, [R10] ; NSString * myNumber; 
RO, [R4, R6] 

RO, loc_25BB636C 


P = 0x25BB631E) ; selRef_shouldLogType_ 
lassRef TULogging - 0x25BB6320) ; classRef TULogging loc 25BB636C 
Llowerl6:(cfstr Phone - 0x25BB632A)) ; "Phone" BL . PhoneSettingsCopyMyNumber 


6-43  [PhoneSettingsTelephony myNumber] 


EXPORT _PhoneSettingsCopyMyNumber 
_PhoneSettingsCopyMyNumber 
(R7,LR) 
R7, SP 


_CTSettingCopyMyPhoneNumber 
Rl, #(selRef_autorelease - 0x25BB22EC) ; selRef_autorelease 
R1, PC ; selRef_autorelease 
R1, [R1] ; "autorelease" 
_objc_msgSend 
{R7,LR} 
. PhoneSettingsCopyFormattedNumberBySIMCountry 
End of function  PhoneSettingsCopyMyNumber 


图 6-44  PhoneSettingsCopyMyNumber 


这 段 代 码 先 调 用 CTSettingCopyMyPhoneNumber 函 数 ， 把 返回 值 给 autorelease 掉 ， 然 后 再 调用 PhoneSettingsCopyFormattedNumberBySIMCountry， 看 其 函数 名 好 像 是 根据 SIM 卡 所 在 的 国家 
把 号 码 给 格式 化 了 。 那 么 CTSettingCopyMyPhoneNumber 函 数 无 论 是 从 名 字 还 是 上 下 文 来 看 ， 都 非常 疑似 获取 本 机 号 码 的 函数 ， 而 且 CT 前 缀 说 明 它 来 自 CoreTelephony， 而 不 是 
MobilePhonesettings。 双 击 这 个 函数 ， 看 看 它 的 内 部 实现 ， 如 图 6-45 所 示 。 


; Attributes: thunk 


_CTSettingCopyMyPhoneNumber 
R12, =(_CTSettingCopyMyPhoneNumber ptr - 0x25BC31D4) 
R12, PC, R12; _CTSettingCopyMyPhoneNumber ptr 
PC, [R12] ; imp CTSettingCopyMyPhoneNumber 
End of function CTSettingCopyMyPhoneNumber 


图 6-45  CTSettingCopyMyPhoneNumber 


果然 是 一 个 外 部 函数 ， 再 次 双击 “_imp_CTSettingCopyMyPhoneNumber”， 看 看 它 来 自 哪个 库 一 一 正 是 CoreTelephony。 退 出 Preferences， 把 它 从 后 台 彻底 关 掉 后 重新 打开 ， 不 要 进入 
MobilePhoneSettings 界 面 ， 然 后 用 debugserver 附 加 ， 用 LLDB 打 印 出 image list， 你 会 发 现 CoreTelephony 赫 然 名 列 其 中 。 这 意味 着 ， 我 们 不 需要 加 载 MobilePhoneSettings.bundle 就 可 以 调 
CTSettingCopyMyPhoneNumber 获 取 未 经 格式 化 的 本 机 号 码 ， 它 就 是 我 们 要 找 的 目标 函数 。 那 么 还 剩 最 后 一 个 问题 一 一 它 的 参数 和 返回 值 是 什么 ? 


从 图 6-44 看 来 ，CTSettingCopyMyPhoneNumber 不 像 是 有 参数 一 一 它 的 前 面 甚至 没有 出 现 RO~R3 寄 存 器 。 如 果 它 有 参数 ， 那 么 RO0~R3 也 是 来 自 它 的 调用 者 ， 即 PhoneSettingsCopyMyNumber。 
但 从 图 6-43 看 来 ， PhoneSettingsCopyMyNumber 之 前 也 只 出 现 了 R0， 且 如 果 进 程 走 右边 ，R0 一 定 是 0,，PhoneSettingsCopyMyNumber 看 起 来 也 没有 参数 。 为 了 保险 起 见 ， 还 是 去 CoreTelephony 里 


看 看 CTSettingCopyMyPhoneNumber 的 实现 ， 如 图 6-46 所 示 。 


根据 Objective-C 函 数 的 命名 惯例 ，CTTelephonyCenterGetDefault 是 有 返回 值 的 ; 在 “BL_CTTelephonyCenterGetDefault” 下 面 ，R0 被 CTTelephonyCenterGetDefault 的 返回 值 覆 盖 掉 了 ; 而 在 
图 6-46 的 最 下 面 ，R1 也 被 “MOV R1,R4” 中 的 R4 覆 盖 掉 了 。 如 果 RO 和 R1 是 参数 ， 那 么 这 2 个 参数 就 没有 起 任何 作用 ， 不 合 常理 ， 因 此 说 明 CTSettingCopyMyPhoneNumber 没 有 参数 。 那 么 它 的 返回 值 
We? 我 们 会 很 自然 地 猜测 它 的 返回 值 是 一 个 字符 串 ， 但 为 了 保险 起 见 ， 还 是 在 CTSettingCopyMyPhoneNumber 的 尾部 下 个 断 点 ， 把 RO 打印 出 来 看 看 吧 。 先 在 IDA 中 看 看 它 的 地 址 ， 如 图 6-47 所 示 。 


EXPORT _CTSettingCopyMyPhoneNumber 
_CTSettingCopyMyPhoneNumber 


-0x34 
-0x30 
-0x2C 
-0x28 
-0x20 
-0x1C 


{R4-R7,LR} 

R7, SP, #0xC 
(R8,R10,R11) 

SP, SP, #0х1С 

R6, #0 

R6, [5Р,#0х34+уаг 1C] 
. CTTelephonyCenterGetDefault 
R4, RO 

R11, SP, #0х34+уаг 1C 
R8, SP, #0x34+var_28 
R10, SP, #0x34+var_20 
R5, #0 


loc_2226760E 
моу RO, R8 
моу R1, R4 


图 6-46 CTSettingCopyMyPhoneNumber 


然后 退出 Preferences， 把 它 从 后 台 彻 底 关 掉 后 重新 打开 ， 不 要 进入 MobilePhoneSettings 界 面 ， 然 后 用 debugserver 附 加 ， 用 LLDB 查 看 CoreTelephony 的 ASLR 偏 黎 ， 如 下 : 


__text:2226763A ; CODE XREF 
| text:2226763A SP, SP, #0x1C 
— text:2226763C {R8,R10,R11} 


text :22267640 {R4-R7 , PC) 
text:22267640 End of function  CTSettingCopyMyPhoneNumber 


图 6-47 CTSettingCopyMyPhoneNumber 


(lldb) image list -o -f 

[ 0] 0x000b3000 /private/var/db/stash/ .291MeZ/Applications/Preferences.app/Preferences (0x00000000000b7000) 

[ 1] 0x0026c000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x000000000026c000) 

[ 2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/System/Library/PrivateFrameworks/BulletinBoard.framework/BulletinBoard [ 51] C 


我 们 就 把 断 点 下 在 0x6db3000+0x2226763A=0x2901A63A 上 吧 。 然 后 进入 MobilePhone-Settings 界 面 ， 触 发 断 点 ， 如 下 : 


(lldb) br s -a 0x2901A63A 

Breakpoint 1: where = CoreTelephony'CTSettingCopyMyPhoneNumber + 78, address = 0x2901a63a 

Process 330210 stopped 

* thread #1: tid = 0x509e2, 0x2901a63a CoreTelephony^ reeni ing opynyE OneNoter + 78, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x2901a63a CoreTelephony` Creer ti пасорумурпопемате šj 78 

CoreTelephony`CTSettingCopyMyPhoneNumber + 78: 

-> 0x2901a63a: add sp, #28 
0x2901a63c: pop.w (r8, r10, r11} 


0x2901a640: pop (r4, r5, r6, r7, pc} 
0x2901a642: nop 

(114) po $r0 

+8 6PhoneNumber 


(ildb) po [$r0 class] 


__NSCFString 


它 就 是 一 个 NSstring， 这 样 就 可 以 还 原 这 个 函数 的 原型 啦 一 一 


NSString *CTSettingCopyMyPhoneNumber (void) ; 


它 就 是 我 们 的 目标 函数 ， 也 就 是 PSTableCell 的 数据 源 ， 我 们 通过 分 析 [Phonesettings Controller tableView:cellForRowAtlndexPath:] 所 在 的 函数 调用 链 找到 了 它 。 在 调用 它 的 时 候 ， 注 意 释 放 返 回 值 


就 好 了 。 写 一 个 小 tweak 测 测 这 个 函数 ， 确 保 它 是 正确 的 。 


(1) 用 Theos 新 建 tweak 工 程 “iOSREGetMyNumber”， 命 令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
.] iphone/notification center widget 
] iphone/preference bundle ~ 
] iphone/sbsettingstoggle 
] iphone/tool 
.] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required) £8 
Project Name (required): iOSREGetMyNumber 
Package Name [com.yourcompany.iosregetmynumber]: com.iosre.iosregetmynumber 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.Preferences 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: Preferences 
Instantiating iphone/tweak in iosregetmynumber/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 


(2) 编辑 Tweak.xm， 代 码 如 下 : 


extern "C" NSString *CTSettingCopyMyPhoneNumber (void); // 来 自 CoreTelephony 
shook PreferencesAppController 
- (BOOL)application: (id)argl didFinishLaunchingWithOptions: 
(id)arg2 
{ 
BOOL result = %orig; 
NSLog(G"iOSRE: my number = %@", 
[CTSettingCopyMyPhoneNumber() autorelease]); 
return result; 


(3) 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME = iOSREGetMyNumber 
iOSREGetMyNumber FILES = Tweak.xm 
iOSREGetMyNumber FRAMEWORKS = CoreTelephony 4 CTSettingCopyMyPhoneNumber Fix Hi 
include $(THEOS MAKE PATH) /tweak.mk 
after-install:: = 
install.exec "killall -9 Preferences" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosregetmynumber 

Name: iOSREGetMyNumber 

Depends: mobilesubstrate, firmware (>= 8.0) 

Version: 1.0 

Architecture: iphoneos-arm 

Description: Get my number just like MobilePhoneSettings! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


(4) 测试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 打 开 Preferences， 不 要 进入 MobilePhoneSettings 界 面 。 然 后 ssh 到 iOS 上 看 看 syslog， 如 下 : 


FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 29 23:23:01 FunMaker-5 Preferences[2078]: iOSRE: my number = +86PhoneNumber 


(5) 补充 
因为 笔者 的 iPhone 5 将 地 区 设置 为 了 美国 ， 所 以 格式 化 之 前 的 本 机 号 码 是 “+86PhoneNumber” , 被 PhonesettingsCopyFormattedNumberBySIMCountry 格 式 化 之 后 变 成 了 “+86 Pho-neNu- 
mber”， 即 美国 电话 号 码 格式 。 


在 逆向 其 他 目标 碰 到 CTSsettingCopyMyPhoneNumber 时 ， 随 着 iOS 逆 向 工程 熟练 度 的 增加 ， 你 就 会 慢 慢 发 现 ， 它 的 正确 原型 其 实 是 : 


CFStringRef CTSettingCopyMyPhoneNumber () ; 


因为 NSString* 和 CFStringRef 是 等 价 的 ， 所 以 我 们 的 写法 也 没 问题 。 


回 


因为 CTSettingCopyMyPhoneNumber 的 函数 名 中 含有 “copy” 字 样 ， 且 它 返 | 
负责 释放 这 个 函数 的 返回 值 。 


本 节 用 大 量 篇 幅 ， 用 ARM 汇 编 完 善 了 “定位 目标 函数 ”环节 ， 并 将 其 细 分 为 “从 现象 切入 App， 找 出 UI 函 数 ” 和 “以 UI 函 数 为 起 点 ， 寻 找 目 标 函 数 ”两 步 ， 结 合 Cycript、IDA 和 LLDB， 既 定位 了 


函数 ， 又 解析 了 一 些 不 够 直观 的 函数 参数 。 两 个 例子 中 演示 的 套路 基本 可 以 应 付 现在 95% 的 App， 如 果 你 有 幸 碰 到 了 那 5% 搞 不 定 的， 欢迎 来 http://bbs.iosre.com 提 供 案例 ， 我 们 一 起 来 寻求 解决 方案 。 


了 一 个 CoreData 对 象 ， 所 以 根据 苹果 的 “Ownership Policy” (Google 搜 索 "apple ownership policy" ) ， 我 们 


标 


63 LLDB 的 使 用 技巧 


上 一 节 是 不 是 为 你 开启 了 iOSs 逆 向 工程 的 另 一 


忘 食 地 实践 刚 学 到 的 新 知识 了 呢 ? 


先 别 急 。6.2 节 的 2 个 例子 虽然 已 经 综合 运 


6.3.1 寻找 函数 调用 者 


8317? IDA 和 LLDB 的 配合 简直 是 无 坚 不 摧 ， 再 配合 ARM 指 令 集 文档 ， 似 乎 已 经 达成 了 “ 它 俩 在 手 ， 天 下 我 有 ”的 境界 。 你 是 不 是 已 经 迫不及待 ， 想 要 废 究 


有 了 1DA 和 LLDB， 但 仍 没有 涵盖 LLDB 的 常用 场景 。 因 此 下 面 以 几 个 短 例 示 范 一 下 LLDB 的 使 用 技巧 ， 它 们 在 实战 中 的 合理 运用 能 够 大 大 减少 我 们 的 工作 量 。 


在 上 一 节 的 2 个 例子 里 ， 在 还 原 函 数 调 用 链 时 ， 主 要 分 析 的 是 一 个 函数 调用 了 哪些 函数 ， 也 就 是 还 原 了 函数 调用 链 的 下 游 。 当 需要 追溯 函数 调用 链 上 游 的 时 候 ， 那 就 需要 分 析 一 个 函数 的 调用 者 是 谁 了 。 


看 下 面 这 样 一 段 代 码 : 


// clang -arch armv7 -isysroot `xcrun --sdk iphoneos --show- 
sdk-path` -framework Foundation -o MainBinary main.m 


#include <stdio.h> 

#include <dlfcn.h> 

#import <Foundation/Foundation.h> 
extern void TestFunction0 (void) 

{ 


NSLog (@"iOSRE: $u", arc4random uniform(0)); 


} 
extern void TestFunctionl (void) 


NSLog(@"iOSRE: $u", arc4random_uniform(1)); 


l 
extern void TestFunction2 (void) 
{ 


NSLog (@"iOSRE: $u", arc4random uniform(2)); 


extern void TestFunction3 (void) 
{ 


NSLog (@"iOSRE: %u", arc4random uniform(3)); 


} 
int main(int argc, char **argv) 
{ 

TestFunction3(); 

return 0; 


} 


把 这 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 里 的 那 句 话 编译 它 ， 然 后 把 MainBinary 拖 进 IDA， 并 查看 NSLog 的 交叉 引 


ES Up p 
ux Up p 
GS] Up p 
GS Up p 


. TestFunction0--20 
_TestFunction1+20 
_TestFunction2+20 
_TestFunction3+20 


图 6-48 ”查看 NSLog 的 交叉 引用 


， 如 图 


6-48 所 示 。 


ss] xrefs to _NSLog 


可 以 看 到 ， 在 这 段 代码 中 ，NSLog 出 现在 了 4 个 函数 里 ， 如 果 在 逆向 时 发 现 syslog 中 出 现 了 “iOSRE: 0”， 那 么 这 个 输出 到 底 是 来 自 哪个 NSLog 呢 ? 当代 码 的 逻辑 比较 简单 时 ， 靠 人 工 就 可 以 指出 只 有 
TestFunction3 得 到 了 调用 ， 它 进而 又 调用 了 NSLog。 可 如 果 这 里 有 20 个 TestFunction， 分 别 被 8 个 不 同 的 函数 调用 呢 ? 逻辑 变 得 复杂 ， 人 工分 析 就 很 吃力 了 。 在 这 种 情况 下 要 寻找 NSLog 的 调用 者 ，LLDB 


就 能 起 到 很 大 的 作用 ; 用 LLDB 寻 找 函 数 调 有 


1. 查 看 LR 


者 ， 主 要 有 2 种 方法 。 


还 记得 6.1.3 节 介绍 的 LR 寄存 器 吗 ? 它 的 作用 是 保存 返回 地 址 。 什 么 是 返回 地 址 ? 举例 如 下 : 


void FunctionA() 


在 上 面 的 伪 代 码 中 ，FunctionA 调 用 FunctionB， 而 A 和 B 一 般 位 于 内 存 中 的 2 块 不 同 


区 域 ， 它 们 的 地 址 没有 直接 关联 。B 执 行 结束 后 ， 需 要 回 到 A 里 继续 执行 接 下 来 的 指令 ， 如 图 6-49 所 示 。 


FunctionA 


FunctionB 


Call 


FunctionB 


6-49 返回 地 址 示意 图 


B 执 行 结束 后 返回 的 那个 地 方 ， 就 是 返回 地 址 。 因 为 它 位 于 调用 者 的 内 部 ， 所 以 如 果 能 知道 LR 的 值 ， 就 可 以 知道 调用 者 是 谁 ;概念 不 好 懂 ， 操 作 一 遍 你 就 全 明白 了 。 先 把 Foundation.framework 的 二 
进 制 文件 拖 进 IDA， 初 始 分 析 结束 后 定位 到 NSLog， 查 看 其 基地 址 ， 如 图 6-50 所 示 。 


text:2261AB94 

text:2261AB94 ; CODE XREF: 
text:2261AB94 

text:2261AB94 

text:2261AB94 

text:2261AB94 

text:2261AB94 #0xC 

text :2261AB96 

text :2261AB98 

text :2261AB9A #4 

text :2261AB9C #8 

text :2261ABA0 

text :2261ABA4 

text :2261ABA8 [SP,#0x18+var_ 18] 
text :2261АВАА _NSLogv 

text :2261ABAE SP, SP, #4 

text :2261ABB0 POP .W (R7,LR) 
text:2261ABB4 ADD SP, SP, #0xC 
text:2261ABB6 BX LR 

text:2261ABB6 ; End of function  NSLog 


图 6-50 查看 NSLog 基 地 址 


FunMaker-5:~ root# debugserver -X backboard *:1234 /var/tmp/MainBinary 

debugserver-8 (#) PROGRAM: debugserver  PROJECT:debugserver-320.2.89 

for armv7. 

Listening to port 1234 for a connection from *http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 


再 用 LLDB 连 过 去 ， 如 下 : 


(1146) process connect connect://localhost:1234 
Process 450336 stopped 
* thread #1: tid = 0x6df20，0xlfec7000 dyld' dyld start, stop reason = signal SIGSTOP 
frame #0: Oxlfec7000 dyld dyld start ~ B 
dyld' dyld start: 
-> Oxlfec7000: mov r8, sp 
Oxlfec7004: sub Sp, sp, #16 
Oxlfec7008: bic sp, sp, #7 
Oxlfec700c: ldr r3, [pc, #112] ; dyld start + 132 
(lldb) image list -f d 
[ 0] /Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8.1 (12B411) /Symbols/usr/lib/dyld 


此 时 MainBinary 还 未 启动 ， 我 们 位 于 dyld 内 部 。 接 下 来 ， 一 直 执 行 “ni” 命 令 ， 直 到 出 现 “error: invalid thread” ABA, ШТ: 


(118) ni 

Process 450336 stopped 

* thread #1: tid = 0x6df20，0xlfec7004 dyld' dyld start + 4, stop reason = instruction step over 
frame #0: Oxlfec7004 dyld' dyld start + 4 T 

dyld? dyld start + 4: 

-> Oxlfec7004: sub Sp, sp, #16 
Oxlfec7008: bic sp, sp, #7 


Oxlfec700c: ldr r3, [pc, $112] ; dyld start + 132 
Oxlfec7010: sub r0, pc, #8 
(114) 


Process 450336 stopped 
* thread #1: tid = 0x6df20，0xlfec7008 dyld' dyld start + 8, stop reason = instruction step over 
frame #0: Oxlfec7008 dyld`_dyld start + 8 
dyld' dyld start + 8: 
-> Oxlfec7008: bic sp, sp, #7 
Oxlfec700c: ldr r3, [pc, #112] ; dyld start + 132 
Oxlfec7010: sub r0, pc, #8 
Oxlfec7014: ldr r3, [rO, r3] 


error: invalid thread 


到 这 里 ， 不 要 再 执行 “ni” 命 令 了 ， 此 时 dyld 开 始 加 载 MainBinary， 等 待 一 会 ， 进 程 又 会 停 下 来 ， 这 时 我 们 已 经 在 MainBinary 内 部 ， 可 以 开始 调试 了 ， 如 下 : 


Process 450336 stopped 
* thread #1: tid = Ox6df20, 0х1ғес7040 dyld" dyld start + 64, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: Oxlfec7040 dyld*_dyld start + 64 
dyld" dyld start + 64: ni 
-> Oxlfec7040: ldr r5, [sp, #12] 
0х1#ес7044: cmp r5, #0 
0х1#ес7048: bne 0х1#ес7054 ; dyld start + 84 
Oxlfec704c: add sp, r8, #4 кы = 


下 面 看 看 Foundation.framework 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[ 0] 0x000fc000 /private/var/tmp/MainBinary (0x0000000000100000) 

[ 1] 0x000c6000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/usr/lib/dyld 

[ 2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (128411) /Symbols/System/Library/Frameworks/Foundation.framework/Foundation 


断 点 下 在 0x6db3000+0x2261ab94=0x293CDB94。 然 后 执行 “c” 命 令 ， 触 发 断 点 ， 如 下 : 


(lldb) br s -a 0x293CDB94 

Breakpoint 1: where = Foundation`NSLog, address = 0x293cdb94 

(114) c 

Process 450336 resuming 

Process 450336 stopped 

* thread #1: tid = 0хбағ20, 0x293cdb94 Foundation`NSLog, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x293cdb94 Foundation NSLog 

Foundation *NSLog: 


-> 0x293cdb94: sub sp, #12 
0x293cdb96: push {el}. LE} 
0x293cdb98: mov rl; sp 
0x293cdb9a: sub sp, #4 


最 后 打印 LR 的 值 ， 如 下 : 


(114) p/x $lr 
(unsigned int) $O = 0x00107f8d 


因为 MainBinary 的 基地 址 是 0x000fc000， 所 以 在 IDA 里 打开 MainBinary， 然 后 跳 转 到 0x107f8d-0xfc000=0xBF8D， 如 图 6-51 所 示 。 


text :0000BF68 EXPORT _TestFunction3 

text :0000BF68 _TestFunction3 

text : 0000BF68 

text:0000BF68 var C = -0хС 

text :0000BF68 

text:0000BF68 PUSH (R7,LR) 

text:0000BF6A R7, SP 

text:0000BF6C SP, SP, #4 
text:0000BF6E RO, #3 

text:0000BF74 . arcárandom uniform 
text:0000BF78 Rl, $(cfstr IosreU - OxBF84) 
text : 0000BF80 R1, PC ; "iOSRE: $u" 
text:0000BF82 RO, [SP,fOxC*var C] 
text:0000BF84 RO, R1 

text:0000BF86 Rl, [SP,fOxC*var C] 
text:0000BF88 _NSLog 

text :0000BF8C SP, SP, #4 
text:0000BF8E (R7,PC) 

text:0000BFBE ; End of function TestFunction3 


图 6-51  TestFunction3 


它 位 于 TestFunction3 中 “BLX_NSLog” 的 正 下 方 ， 我 们 找到 了 NSLog 的 调用 者 。 有 一 点 需要 强调 的 是 ， 因 为 LR 在 被 调用 者 内 部 可 能 会 产生 变化 ， 所 以 断 点 一 定 要 下 在 基地 址 上 。 很 简单 吧 ? 


2 执行 “ni” 命 令 到 调用 者 内 部 


虽然 “查看 LR” 的 方法 很 简单 ， 但 在 上 面 的 例子 里 ,我 们 机 了 个 小 花样 : 因为 事先 知道 MainBinary 调 用 了 NSLog， 所 以 才 用 LR 减 去 MainBinary 的 AsLR 偏 移 得 到 地 址 ， 然 后 在 IDA 中 跳 过 去 。 而 一 般 情 
况 下 ， 我 们 不 知道 哪个 函数 调用 了 NSLog， 更 不 知道 哪个 模块 调用 了 NSLog， 因 此 也 就 不 知道 该 用 LR 减 去 谁 的 ASLR 偏 移 了 。 要 解决 这 个 问题 ， 我 们 的 理论 依据 仍 是 “B 执 行 结束 后 ， 需 要 回 到 A 里 ， 继 续 执 
行 接 下 来 的 指令 ” 只 要 在 被 调用 者 的 未 尾 下 个 断 点 ， 然 后 一 直 执行 “ni” 命 令 ， 就 会 回 到 调用 者 内 部 ， 从 而 发 现 调用 者 。 还 是 来 操作 一 遍 : 重复 上 面 的 步骤 ， 用 debugserver 重 新 启动 MainBinary， 
LLDB 挂 接 过 去 ， 直 到 进入 MainBinary 内 部 ， 然 后 查看 Foundation.framework 的 ASLR 偏 移 ， 如 下 : 


Ши 


(1140) image list -o -f 

[ 0] 0x0000c000 /private/var/tmp/MainBinary (0x0000000000010000) 

[ 1] 0x000c5000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/usr/lib/dyld 

[ 2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8.1 (12B411) /Symbols/System/Library/Frameworks/Foundation.framework/Foundation 


它 的 AsLR 偏 移 是 0x6db3000。 依 图 6-50，NSLog 最 后 一 条 指令 的 地 址 是 0x2261ABB6， 因 此 ， 在 0x6db3000+0x2261ABB6=0x293CDBB6 上 下 一 个 断 点 ， 然 后 执行 “c” 命令 ， 触 发 断 点 ， 如 下 : 


(1146) br s -a 0x293CDBB6 
Breakpoint 1: where = Foundation`NSLog + 34, address = 0x293cdbb6 
(1180) c 
Process 452269 resuming 
(114) 2014-11-30 23:45:37.070 MainBinary[3454:452269] iOSRE: 1 
Process 452269 stopped 
* thread #1: tid = Охбебаа, 0x293cdbb6 Foundation`NSLog + 34, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x293cdbb6 Foundation NSLog + 34 
Foundation NSLog + 34: 
-> 0x293cdbb6: bx lr 
Foundation NSLogv: 
0x293cdbb8: push ira; r5, r6, r7, lr) 
0x293cdbba: add r7, sp, #12 
Ox293cdbbc: sub sp, #12 


注意 “->” 上 方 的 文字 ， 它 指示 了 当前 的 模块 。 接 着 执行 “ni” 命 令 ， 如 下 : 


(lldb) ni 
Process 452269 stopped 
* thread #1: tid = 0x6e6ad，0x00017fa6 MainBinary`main + 22, queue = 'com.apple.main-thread, stop reason = instruction step over 


frame #0: 0x00017fa6 MainBinary`main + 22 
MainBinary`main + 22: 
-> Ox17fa6: movs r0, #0 

Ox17fa8: movt r0, #0 

Oxl7fac: add sp, #12 

0x17fae: pop {r7, рс} 


进入 了 MainBinary， 停 在 了 0x17fa6。0x17fa6-0xc000=0xbfa6， 对 照 图 6-51， 我 们 找到 了 NSLog 的 调用 者 TestFunction3。 


两 种 寻找 调用 者 的 方法 都 很 简单 粗暴 ， 大 家 根据 自己 的 喜好 随便 选 一 种 就 可 以 了 。 


6.3.2 ”更 改进 程 执行 逻辑 


为 什么 要 更 改进 程 执行 逻辑 ”最 常见 的 原因 之 一 是 因为 有 些 时候 ， 你 想 要 调试 的 代码 需要 满足 一 定 的 条 件 才 能 触发 执行 ， 而 这 种 条 件 不 借助 外 界 力量 很 难 重 现 ， 所 以 可 以 更 改进 程 执行 逻辑 ， 把 进程 引 
导向 目标 代码 ， 从 而 调试 它们 。 这 句 话 听 起 来 很 描 口 ， 举 一 个 例子 你 就 清楚 了 。 看 下 面 这 样 一 段 代 码 : 


// clang -arch armv7 -isysroot `xcrun --sdk iphoneos --show-sdk-path' -framework Foundation -framework UIKit -o MainBinary main.m 
#include <stdio.h> 

finclude <dlfcn.h> 

#import <Foundation/Foundation.h> 

#import «UIKit/UIKit.h» 

extern void ImportantAndComplicatedFunction (void) 


NSLog(G"iOSRE: Suppose I'm a very important and 
complicated function"); 
} 
int main(int argc, char **argv) 


{ 


if ([[[UIDevice currentDevice] systemVersion] 
isEqualToString:@0"8.1.1"]) ImportantAndComplicatedFunction (); 
return 0; 


} 


把 这 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 里 的 那 句 话 编译 它 ， 然 后 把 MainBinary 拷 到 iOS 的 “/var/tmp/” 下 ， 如 下 : 


snakeninnys-MacBook:6 snakeninny$ scp MainBinary root@iOSIP:/var/tmp/ 
MainBinary 100$49KB 48.6KB/s 00:00 


运行 它 ， 效 果 如 下 : 


:~ root# /var/tmp/MainBinary 
root# 


因为 笔者 的 iOS 系 统 是 8.1， 所 以 自然 没有 任何 输出 。 笔 者 对 ImportantAndComplicated-Function 很 感 兴趣 ， 想 动态 调试 它 ， 但 手头 没有 8.1.1 的 系统 ， 怎 么 办 呢 ? 那 就 动态 更 改 代码 ， 让 这 个 函数 得 到 
执行 。 下 面 来 操作 一 遍 ， 请 读者 注意 观察 。 先 把 MainBinary 拖 进 IDA， 定 位 到 ImportantAndComplicatedFunction 被 调用 之 前 的 指令 ， 如 图 6-52 所 示 。 


然后 用 debugserver 启 动 MainBinary， 用 LLDB 挂 接 过 去 ， 直 到 进入 MainBinary 内 部 ， 再 查看 MainBinary 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 
0] 0x0000e000 /private/var/tmp/MainBinary (0x0000000000012000) 


过 
Ий] 


6-52 最 上 面 的 那个 “CMP R0,#0” 地 址 是 0xBF46， 所 以 把 断 点 下 在 0xbf46+0xe000=0x19F46， 然 后 执行 “c” 命 令 触 发 它 ， 然 后 看 看 RO 的 值 ， 如 下 : 


RO, #0 

SP, SP, #0x20 
LDR.W R8, [SP+0x10+var_10],#4 
POP {R4-R7, PC} 
; End of function main 


; _ text ends 


6-52 ImportantAndComplicatedFunction4$ 5] 3] J] Z 17 


(lldb) br s -a 0x19F46 

Breakpoint 1: where = MainBinary main + 134, address = 0x00019f46 

(1180) c 

Process 456316 resuming 

Process 456316 stopped 

* thread #1: tid = 0х6#67с, 0х00019#46 MainBinary' main + 134, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x00019f46 MainBinary' main + 134 

MainBinary' main + 134: 


-> 0x19f46: го, #0 
š 0х19#4е ; main + 142 
0х19еа4 ; ImportantAndComplicatedFunction 
0х19#4е: movs r0, #0 


(114) p Sr0 
(unsigned int) $0 = 0 


R0 是 0， 因 此 ImportantAndComplicatedFunction 得 不 到 执行 。 如 果 把 R0 改 成 1， 情 况 就 不 同 了 ， 如 下 : 


(lldb) register write r0 1 

(lldb) p $r0 

(unsigned int) $1 = 1 

(lldb) c 

Process 456316 resuming 

(lldb) 2014-12-01 00:41:47.779 MainBinary[3482:457105] iOSRE: Suppose I'm a very important and complicated function 
Process 456316 exited with status = 0 (0x00000000) 


我 们 通过 动态 更 改 寄存 器 的 值 来 改变 进程 执行 逻辑 ， 达 到 了 目的 。 


64 小 结 


1DA 和 LLDB 两 大 神器 的 作用 当然 不 止 于 本 章 所 介绍 的 这 些 ， 它 们 的 有 效 范围 很 广 ， 小 到 分 析 App， 大 到 动手 越狱 ， 是 两 款 “ 老 少 咸 宜 ” 的 工具 。 不 过 ， 相 信 在 iOs 逆 向 工程 初级 阶段 ， 大 家 应 用 它们 的 
场合 不 会 超出 本 章 的 内 容 范 围 。 当 然 ， 熟 练 掌握 它们 以 后 ， 对 iOs 的 理解 一 定 会 上 升 到 一 个 新 的 层次 ; 届时 ， 大 家 就 能 举一反三 ， 根 据 自己 的 需求 摸索 它们 的 新 用 法 了 。 在 ARM 汇 编 级 别 的 iOS 逆 向 工程 里 ， 
值得 悉心 研究 的 课题 还 有 很 多 ， 我 们 会 在 http://bbs.iosre.com 上 展开 旷日持久 的 讨论 。 


到 实战 中 去 ， 在 阅读 完 那些 内 容 之 后 ， 大 家 就 能 根据 自己 的 掌握 情况 判断 是 知 难 而 退 ， 还 是 迎 难 而 上 了 。 无 论 


本 章 的 内 容 虽 然 有 些 艰深 ， 却 是 入 门 iOS 逆 向 工程 的 基础 。 接 下 来 的 4 章 会 将 本 章 内 容 运 
如 何 ， 这 是 一 个 很 有 意思 的 方向 ， 能 走 多 远 则 完全 看 个 人 的 功底 和 兴趣 了 。 


第 四 部 分 “实战 篇 


5 第 7 章 ”实战 1: Characount for Notes 8 

“第 8 章 XU: 自动 将 指定 电子 邮件 标记 为 已 读 

“ 第 9 章 RRI 保存 与 分 享 微 信 小 视频 

“ 第 10 章 ”实战 4: 检测 与 发 送 iMessage 

前 面 三 个 部 分 重点 介绍 了 iOS 应 用 着 向 工程 的 基本 概念 、 工 具 应 用 和 相关 理论 ， 其 中 穿插 的 实例 有 助 于 增进 大 家 对 iOS 逆 向 工程 的 了 解 ， 相 信 大 家 也 都 已 经 感受 到 ， 只 有 把 理论 、 工 具 和 思想 有 机 结合 ， 
才能 发 挥 北向 工程 的 最 大 威力 。 

在 完成 前 三 部 分 之 后 ， 很 多 朋友 可 能 会 觉得 前 面 那些 零散 的 简单 例子 还 是 过 于 保守 ， 缺 乏 一 种 醒 畅 淋 注 的 感觉 。 因 此 在 实战 篇 中 ， 我 们 会 用 4 个 原创 实例 演示 理论 、 工 具 和 思想 的 有 机 结合 ， 这 部 分 的 递 
向 目标 是 : 


* Characount for Notes 8 

“ 自动 将 指定 电子 邮件 标记 为 已 读 
“ 保存 与 分 享 微 信 小 视频 

+ 检测 与 发 送 iMessage 


接 下 来 ， 就 请 进入 本 书 最 精彩 的 部 分 ， 通 过 一 个 个 精彩 实例 去 感受 iOS 闻 向 工程 的 强大 威力 。 


第 7 章 ”实战 1: Characount for Notes 8 


7.1 备忘录 


iOS 的 备忘录 (以 下 简称 Notes) 想必 是 所 有 果 粉 最 熟悉 的 App 之 一 了 ， 从 iOS 出 生 到 现在 ， 备 忘 录 的 风格 和 功能 就 没有 过 大 的 变动 ， 足 见 其 经 典 。 简 洁 的 风格 和 便捷 的 输入 让 它 抓 住 了 笔者 的 心 ， 在 笔 
者 的 Notes 里 记 满 了 自己 的 小 秘密 ， 如 图 7-1 所 示 。 
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图 7-1 Notes 界 面 


作为 Notes 的 重度 用 户 ， 笔 者 不 但 用 它 来 记录 秘密 ， 对 于 一 些 需要 精 雕 细 琢 的 短信 、 微 博 ， 笔 者 都 会 在 Notes 里 编辑 完成 后 ， 再 发 到 相应 的 平台 上 。 因 为 这 类 内 容 都 有 字数 限制 ， 所 以 笔者 也 希望 Notes 


可 以 多 一 项 苹果 没有 提供 的 功能 
适合 作为 iOSs 逆 向 工程 初学 者 的 敲门砖 ， 所 以 本 章 的 任务 就 是 在 iOS 8 ЕН 


第 7 章 ”实战 1: Characount for Notes 8 


=5Characount for Notes, 下 


的 操作 在 iPhone 5, iOS 8.1 中 完成 。 


显示 每 条 Note 的 字数 。 出 于 自己 动手 ， 丰 衣 有 足 食 的 原则 ， 笔 者 自行 开发 了 Characount for Notes， 它 是 笔者 在 iOS 6 时 代 使 用 频率 最 高 的 插件 之 一 。 因 为 它 难度 不 大 ， 


iOS 的 备忘录 (以 下 简称 Notes) 想必 是 所 有 果 粉 最 熟悉 的 App 之 一 了 ， 从 iOS 出 生 到 现在 ， 备 忘 录 的 风格 和 功能 就 没有 过 大 的 变动 ， 足 见 其 经 典 。 简 洁 的 风格 和 便捷 的 输入 让 它 抓 住 了 笔者 的 心 ， 在 笔 
者 的 Notes 里 记 满 了 自己 的 小 秘密 ， 如 图 7-1 所 示 。 
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图 7-1 Notes 界 面 


作为 Notes 的 重度 用 户 ， 笔 者 不 但 用 它 来 记录 秘密 ， 对 于 一 些 需要 精 雕 细 琢 的 短信 、 微 博 ， 笔 者 都 会 在 Notes 里 编辑 完成 后 ， 再 发 到 相应 的 平台 上 。 因 为 这 类 内 容 都 有 字数 限制 ， 所 以 笔者 也 希望 Notes 
可 以 多 一 项 苹果 没有 提供 的 功能 一 一 显示 每 条 Note 的 字数 。 出 于 自己 动手 ， 丰 衣 幢 食 的 原则 ， 笔 者 自行 开发 了 Characount for Notes， 它 是 笔者 在 iOS 6 时 代 使 用 频率 最 高 的 插件 之 一 。 因 为 它 难 度 不 大 ， 
适合 作为 iOS 逆 向 工程 初学 者 的 敲门砖 ， 所 以 本 章 的 任务 就 是 在 iOS 8 上 重 写 Characount for Notes， 下 面 的 操作 在 iPhone 5, iOS 8.1 中 完成 。 


7.2 ”搭建 tweak 原 型 


1105 8 中 ，Notes 原 始 的 阅览 界面 是 这 样 的 ， 如 图 7-2 所 示 。 


要 在 这 个 界面 显示 这 条 note 的 字数 ， 在 哪里 显示 比较 好 看 呢 ? 不 知道 你 对 iOS 6 上 的 Notes 有 没有 印象 ， 那 时 的 每 条 note 都 有 一 个 居中 显示 的 标题 ， 如 图 7-3 所 示 。 
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图 7-2 iOS 8 的 Notes 阅 览 界面 
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司 7-4 所 示 。 


空空 荡 荡 的 ， 不 如 我 们 就 把 字数 加 在 标题 所 在 的 位 置 ， 如 


controller 又 


iOS 8 把 这 个 标题 给 去 掉 了 ， 整 个 导航 栏 显得 
效果 还 不 赖 ! 要 把 Notes 改 造成 这 样 ， 需 要 做 些 什么 工作 呢 ? 还 记得 第 5 章 里 说 过 ， 在 iOS 里 你 看 见 的 每 个 东西 都 是 一 个 对 象 吗 ? 记 住 这 个 准则 ， 一 起 来 思考 。 
是 一 个 view， 可 以 通过 nextResponder 追 溯 到 它 的 controller, 


sap 


Fixénote, [JUS 


Т) 每 条 note 都 是 一 个 对 象 ， 阅 览 界面 涵盖 了 一 条 note 的 内 容 及 修改 时 间 等 信息 ， 这 些 信息 都 来 源 了 
可 以 访问 note 的 相关 数据 ， 可 以 用 于 在 刚刚 进入 阅览 界面 的 时 候 初始 化 字数 标题 。 
b 现 一 个 “Done” 的 按钮 ， 如 图 7-5 所 示 。 


2) 当 编 辑 一 条 note 时 ， 阅 览 界面 的 右上 方 会 
后 ， 这 条 note 被 保存 下 来 。 这 个 现象 说 明 一 条 note 在 编辑 过 程 中 是 不 会 实时 保存 的 ， 不 然 就 不 需要 这 个 按钮 了 。 而 字数 标题 随 着 内 容 的 编辑 实时 变化 的 效果 是 最 好 的 ， 要 达到 这 种 效 
因为 这 种 方法 一 般 是 定义 在 protocol 里 的 ， 所 以 要 留意 各 种 protocol 里 有 没有 出 现 这 类 函数 。 


D 


此 只 要 简 简单 单 地 调 


从 这 个 方法 里 拿 到 当前 的 字数 ， 实 时 更 新 标题 
的 controller 想 必 是 一 个 UIViewController 的 子 类 ， 而 UIViewController 有 一 个 名 为 title 的 property， 


点 击 "Done" 之 
果 ， 就 需要 一 个 实时 监测 note 内 容 变 化 的 方法 ， 


H 


3) 如 果 已 经 搞定 了 字数 ， 要 怎么 把 它 放 在 导航 栏 上 呢 ? 阅览 
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图 7-5 阅览 界面 出 现 “Done” 按 钮 


如 果 能 解决 上 面 3 个 问题 ，Characount for Notes 的 技术 难点 就 算 全 部 拿 下 。 没 有 更 多 需要 解释 的 了 ， 我 们 开始 动手 吧 ~ 


724 定位 Notes 的 可 执行 文件 


在 /Applications/” 下 艳 摸 了 一 圈 ， 没 有 名 为 “Notes.app” 的 文件 来。 这 种 情况 下 ， 该 怎么 定位 Notes 所 在 的 文件 夹 呢 ? 还 记得 在 dumpdecrypted 章 节 里 找 App 目 录 的 小 技巧 吗 ? 是 的 ， 就 是 用 ps 
命令 : 先 关 掉 所 有 的 App， 然 后 打开 Notes。 接 着 ssh 到 iOS 中 ， 用 ps 命令 看 看 当前 有 哪些 进程 来 自 “/Applications/”， 如 下 : 


FunMaker-5:~ root# ps -e | grep /Applications/ 


592 2? 0:37.70 /Applications/MobileMail.app/MobileMail 

761 ?? 0:02.78 /Applications/MessagesNotificationViewService.app/MessagesNotificationViewService 
1807 ?? 0:00.55 /private/var/db/stash/ .291MeZ/Applications/MobileSafari .app/webbookmarksd 

2016 ?? 0:05.23 /Applications/InCallService.app/InCallService 

2619 ?? 0:02.66 /Applications/MobileSMS.app/MobileSMS 

2672 ?? 0:01.20 /Applications/MobileNotes.app/MobileNotes 


2678 ttys000 0:00.01 grep /Applications/ 


其 中 ， 最 可 疑 的 当然 就 是 MobileNotes 了 ， 人 怎么 验证 呢 ? kill 掉 它 ， 看 看 已 经 打开 的 Notes 会 不 会 闪 退 ， 如 下 : 


FunMaker-5:~ root# killall MobileNotes 


Notes 果 然 退 出 了 , 说明“/Applications/MobileNotes.app/MobileNotes” 就 是 Notes 的 可 执行 文件 ， 而 且 同 时 还 知道 了 “/Applications/” 下 运行 在 后 台 的 一 些 应 用 。 把 MobileNotes 拷 贝 到 OSX 
中 ,准备 class-dump。 


7.2.2 class-dump 出 MobileNotes 的 头 文件 


因为 Notes 不 是 从 AppStore 下 载 的 ,没有 加 壳 ， 所 以 可 以 直接 使 用 class-dump， 如 下 : 


snakeninnys-MacBook:~ snakeninny$ class-dump -S -s -H /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/MobileNotes.app/MobileNotes -o /Users/snakeninny/Code/iOSPrivateHeade 


一 共有 88 个 头 文件 ， 粗 略 扫 一 眼 ， 看 看 能 发 现 什么 ， 如 图 7-6 所 示 。 


NotesStateArchiving-Protocol.h 
NotesTextureBackgroundView.h 
NotesTextureScrolling-Protocol.h 
NotesTextureView.h 
NoteTextView.h 


NoteTextViewActionDelegate-Protocol.h 
NoteTextViewLayoutDelegate-Protocol.h 
NoteUserActivityState.h 


Ë OSX * [i Users > @ snakeninny > Ёш Code * D iOSPrivateHeaders > Ёш 8.1 * 天 MobileNotes > ^; NoteTextView.h 


图 7-6  class-dump X x fF 


看 到 图 7-6 中 选中 的 文件 了 吗 ? 是 不 是 它 ， 我 们 现在 不 知道 ， 也 不 用 急于 猜测 ， 结 果 马 上 就 会 揭晓 了 。 


7.2.3 用 Cycript 找 到 阅览 界面 及 其 controller 


百 试 不 爽 的 recursiveDescription 又 要 派 上 用 场 了 ， 如 下 : 


FunMaker-5:~ root# cycript -р MobileNotes 
cy# ?expand 
expand == true 
cy# [[UIApp keyWindow] recursiveDescription] 
@"<UIWindow: 0x17688db0; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x17689620>; layer = <UIWindowLayer: 0x17688fc0>> 
<UILayoutContainerView: 0x175bb880; frame = (0 0; 320 568); autoresize = WHH; layer = «CALayer: 0x175bb900>> 
<UILayoutContainerView: 0x17699350; frame = (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x1769cf60>; layer = <CALayer: 0x17699530>> 
<UINavigationTransitionView: 0x176564c0; frame = (0 0; 320 568); clipsToBounds = YES; autoresize = W+H; layer = <CALayer: 0x17658ec0>> 
<UIViewControllerWrapperView: 0x176d13b0; frame = (0 0; 320 568); layer = <CALayer: 0x176d1530>> 
| <UILayoutContainerView: 0x1769dd80; frame = (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x176a16f0»; layer = «CALayer: 0x1769de 
| | <UINavigationTransitionView: 0x1769ebb0; frame = (0 0; 320 568); clipsToBounds = YES; autoresize = WHH; layer = <CALayer: 0x1769ec40>> 
| | <UIViewControllerWrapperView: 0x175109e0; frame = (0 0; 320 568); layer = <CALayer: 0x175109b0>> 
1 | <NotesBackgroundView: 0x175ee3e0; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x17510a70>; layer = <CALayer: 0х175ее580>> 
| | <NotesTextureBackgroundView: 0x175ee5b0; frame = (0 0; 320 568); clipsToBounds = YES; layer = <CALayer: 0x175ee630>> 
| | «NotesTextureView: 0x175ee940; frame = (0 -64; 320 640); layer = <CALayer: 0x175ee9c0>> 
| <NoteContentLayer: 0x176c5110; frame = (0 0; 320 568); layer = <CALayer: 0x176ca850>> 
| | <UIView: 0x175f2130; frame = (16 0; 288 0); hidden = YES; layer = <CALayer: 0x175dd2b0>> 
| | <NotesScrollView: 0х175#2а10; baseClass = UIScrollView; frame = (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = «NS2 
| | | <UIView: 0х175#09а0; frame = (0 0; 320 0); layer = <CALayer: 0х175#2790>> 
| | | <UIView: 0х175#27е0; frame = (0 0; 0 460); layer = <CALayer: 0х175#2850>> 
| | | <NoteDateLabel: 0х175#3400; baseClass = UILabel; frame = (69 5.5; 182 18); text = 'November 24, 2014, 20:44'; userInterac 
| | | <NoteTextView: 0x175ee3e0; baseClass = UICompatibilityTextView; frame = (6 28; 308 418); text = 'Secret'; clipsToBounds 


果不其然 有 一 个 NoteTextView， 且 “Secret” 就 位 于 其 中 。 持 续 调 用 nextResponder， 找 出 它 的 controller， 如 下 : 


Cy# [#0x175ee3e0 nextResponder] 

#"<NotesScrollView: 0x17d307c0; baseClass = UIScrollView; frame = (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x17e502a0»; layer = «CALayer: 0x17d30b60> 
cy# [#0х174307с0 nextResponder] 

#"<NoteContentLayer: 0x17e505b0; frame = (0 0; 320 568); layer = <CALayer: 0x17e50470>>" 

cy# [#0x17e505b0 nextResponder] 

#"<NotesBackgroundView: 0x17e52320; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x17d0c940>; layer = <CALayer: 0х17е522#0>>" 

cy# [#0x17e52320 nextResponder] 

#"<NotesDisplayController: 0x17edc340>" 


好 的 ， 就 是 NoteDisplayController 了 。 看 看 如 下 直接 调用 setTitle: 能 否 改变 阅览 界面 的 标题 : 


Cy# [#0x17edc340 setTitle:@"Characount = Character count"] 


效果 如 图 7-7 所 示 。 
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< Characount = Character count 
November 24, 2014, 20:44 


Secret 


图 7-7 setTitle: 的 效果 


没有 任何 问题 ， 第 一 目标 达成 ! 
7.2.4 从 NoteDisplayController 找 到 当前 note 对 象 


趁 热 打铁 ， 到 NoteDisplayController.h 里 看 看 它 的 定义 ， 如 下 : 


Qinterface NotesDisplayController : UIViewController <NoteContentLayerDelegate, UIActionSheetDelegate, AFContextProvider, UIPopoverPresentationControllerDelegate, UINavigationC 
{ 


@property(nonatomic, getter=isVisible) BOOL visible; // @synthesize visible= visible; 
- (void)loadView; 
@property(retain, nonatomic) NoteObject *note; // @synthesize note= note; 


文件 的 内 容 很 多 ， 通 览 之 后 ， 我 们 发 现 了 一 个 NoteObject 类 型 的 属性 。 虽 说 一 个 note 就 是 一 个 对 象 ， 但 NoteObject 的 名 称 含义 是 不 是 也 太 明 显 了 .…… 在 Cycript 里 把 它 打 印 出 来 看 看 ， 如 下 : 


cy# [#0x17edc340 note] 
#'<NoteObject: 0x176aal70» (entity: Note; id: 0х176а9040 <x-coredata: //4B88CC7C-7A5F-4F15-9275-53C6D0ABE0C3/Note/p15> ; data: (Nn attachments = (\n Jr wa; author = 


很 明显 ，NoteObject 就 是 当前 显示 的 note， 各 个 字段 含义 都 比较 清晰 ， 现 在 去 看 看 它 的 定义 ， 如 下 : 


@interface NoteObject : NSManagedObject 
{ 


} 

- (BOOL)belongsToCollection: (id) argl; 

@property(nonatomic) unsigned long long sequenceNumber; 

= (BOOL) containsAttachments; 

@property(retain, nonatomic) NSString *externalContentRef; 

@property (retain, nonatomic) NSData *externalRepresentation; 

Gproperty (readonly, nonatomic) BOOL hasValidServerIntId; 

@property(nonatomic) long long serverIntId; 

@property(nonatomic) unsigned long long flags; 

@property(readonly, nonatomic) NSURL *noteId; 

Gproperty (readonly, nonatomic) BOOL isBeingMarkedForDeletion; 

Gproperty (readonly, nonatomic) BOOL isMarkedForDeletion; 

— (void)markForDeletion; 

Gproperty (nonatomic) BOOL isPlainText; 

- (id)contentAsPlainTextPreservingNewlines; 

@property(readonly, nonatomic) NSString *contentAsPlainText; 

Gproperty (retain, nonatomic) NSString *content; 

// Remaining properties 

Gproperty (retain, nonatomic) NSSet *attachments; // (dynamic attachments; 

Gproperty (retain, nonatomic) NSString *author; // @dynamic author; 

@property (retain, nonatomic) NoteBodyObject *body; // @dynamic body; 

@property (retain, nonatomic) NSNumber *containsCJK; // @dynamic containsCJK; 
Gproperty(retain, nonatomic) NSNumber *contentType; // @dynamic contentType; 
Gproperty (retain, nonatomic) NSDate *creationDate; // @dynamic creationDate; 
Gproperty(retain, nonatomic) NSNumber *deletedFlag; // @dynamic deletedFlag; 
Gproperty(retain, nonatomic) NSNumber *externalFlags; // @dynamic externalFlags; 
@property (retain, nonatomic) NSNumber *externalSequenceNumber; // @dynamic externalSequenceNumber; 
Gproperty (retain, nonatomic) NSNumber *externalServerIntId; // @dynamic externalServerIntId; 
@property (readonly, retain, nonatomic) NSString *guid; // @dynamic guid; 

Gproperty (retain, nonatomic) NSNumber *integerld; // @dynamic integerId; 

Gproperty (retain, nonatomic) NSNumber *isBookkeepingEntry; // @dynamic isBookkeepingEntry; 
Gproperty(retain, nonatomic) NSDate *modificationDate; // @dynamic modificationDate; 
Gproperty(retain, nonatomic) NSString *serverld; // @dynamic serverld; 

Gproperty (retain, nonatomic) NoteStoreObject *store; // @dynamic store; 

Gproperty (retain, nonatomic) NSString *summary; // @dynamic summary; 
Gproperty(retain, nonatomic) NSString *title; // @dynamic title; 

Gend 


非常 好 ， 这 么 多 的 property 表 明 NoteObject 是 个 非常 标准 的 model。 如 何 获取 它 的 文字 内 容 呢 ? 在 上 面 的 代码 中 ， 看 到 了 一 个 名 为 contentAsPlainText 的 property， 像 下 面 这 样 调用 它 看 看 是 什么 效 


су# [#0х17баа170 contentAsPlainText] 
@"Secret" 


为 了 进一步 确认 ， 改 一 下 这 条 note 的 文字 ， 再 配 一 张 图 ， 如 图 7-8 所 示 。 
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图 7-8 重新 编辑 这 条 note 


然后 重新 调用 contentAsPlainText， 如 下 : 


Cy# [40x176aa170 contentAsPlainText] 
G"bbs.iosre.com" 


基本 可 以 确定 这 个 函数 能 够 正确 返回 当前 note 的 文字 内 容 了 ， 对 它 调用 length 就 可 以 拿 到 这 条 note 的 文字 个 数 ， 如 下 : 


cy# [[#0x176aal70 contentAsPlainText] length] 
13 


还 有 最 后 一 项 任务 ， 咱 们 快马加鞭 ， 把 它 搞定 ! 


7.2.5 “找到 实时 监测 note 内 容 变化 的 方法 


在 本 章 开 头 部 分 已 经 提 到 ，“ 实 时 监测 note 内 容 变化 的 方法 一 般 是 定义 在 protocol 里 的 ”。 因 为 设置 标题 的 函数 ， 以 及 获取 note 对 象 的 操作 都 是 通过 NotesDisplayController 类 完成 的 ， 所 以 如 果 能 在 
这 个 类 里 找到 一 个 符合 条 件 的 方法 ， 那 男 两 项 操作 就 可 以 放 在 这 个 方法 里 完成 了 ， 可 以 极 大 地 简化 代码 。 打 开 NotesDisplayController.h， 看 看 它 实现 了 哪些 协议 ， 如 下 : 


Ginterface NotesDisplayController:UIViewController<NoteContentLayerDelegate,UIActionSheetDelegate,AFContextProvider,UIPopoverPresentationControllerDelegate,UINavigationControll 


@ега 


其 中 UIActionSheetDelegate、UIPopoverPresentationControllerDelegate、UINavigation-ControllerDelegate、UllmagepPickerControllerDelegate 都 是 公开 协议 ， 明 显 跟 note 内 容 的 变化 没 关 
系 ， 可 以 直接 排除 掉 了 。 剩 下 的 NoteContentLayerDelegate、AFContextProvider、NotesQu-ickLookActivityltemDelegate、ScrollViewKeyboardResizerDelegate、NSUserActivityDelegate 和 
NotesStateArchiving 都 不 能 轻易 放 过 ， 需 要 逐个 排查 。 先 看 NoteContentLayerDelegate-Protocol.h， 如 下 : 


п 


@protocol NoteContentLayerDelegate <NSObject> 

- (BOOL) allowsAttachmentsInNoteContentLayer: (id)argl; 
- (BOOL) canInsertImagesInNoteContentLayer: (id) argl; 

(void) insert ImageInNoteContentLayer: (id) argl; 

(BOOL) isNoteContentLayerVisible: (id) argl; 

(BOOL) noteContentLayer: (id)argl acceptContentsFromPasteboard: (id) arg2; 

(BOOL) noteContentLayer: (id)argl acceptStringIncreasingContentLength: (id) arg2; 

(BOOL) noteContentLayer: (id)argl canHandleLongPressOnElement: (id) arg2; 

(void) noteContentLayer: (id)argl containsCJK: (BOOL) arg2; 

(void) noteContentLayer: (id) argl contentScrollViewWillBeginDragging: (id) arg2; 

(void) noteContentLayer: (id)argl didChangeContentSize: (struct CGSize) arg2; 

(void) noteContentLayer: (id)argl handleLongPressOnElement: (id)arg2 atPoint: (struct CGPoint) arg3; 
(void) noteContentLayer: (id)argl setEditing: (BOOL)arg2 nimated: (BOOL) arg3; 

(void) noteContentLayerContentDidChange: (id)argl updatedTitle: (BOOL) arg2; 

(BOOL) noteContentLayerShouldBeginEditing: (id) argl; 

@optional 

- (void) noteContentLayerKeyboardDidHide: (id) argl; 

@end 


d) 
d) 
) 
) 
d) 
) 


ЖАЛКАК ДЕ. 


其 中 ，noteContentLayerdidChangeContentSize: 和 noteContentLayerContentDidChange:u-pdatedTitle: 这 两 个 方法 有 些 可 疑 ， 编 辑 一 条 note 时 ， 这 条 note 的 内 容 和 内 容 所 占 的 尺寸 都 在 实时 变 
化 ， 因 此 这 两 个 方法 确实 有 被 实时 调用 的 可 能 性 。 查 看 NotesDisplayController.h， 这 两 个 协议 方法 也 都 被 实现 了 。 为 了 确定 它们 有 没有 被 实时 调用 ， 考 虑 用 LLDB 验 证 一 下 。 


用 LLDB 附 加 MobileNotes， 看 看 MobileNotes 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

0] 0x00035000 /private/var/db/stash/ .291MeZ/Applications/MobileNotes.app/MobileNotes (0x0000000000039000) 

1] 0x00197000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x0000000000197000) 

2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (128411) /Symbols/System/Library/Frameworks/QuickLook. framework/QuickLook 


ASLR 偏 移 是 0x35000。 然 后 把 MobileNotes 拖 进 IDA， 待 初始 分 析 完 成 后 ， 查 看 [NotesDisplay-Controller noteContentLayer:didChangeContentSize:]#][NotesDisplayController noteContent- 
LayerContent-DidChange:updatedTitle:] 的 基地 址 ， 如 图 7-9 和 图 7-10 所 示 。 


; NotesDisplayController - (void)noteContentLayer:( 


[ text : 00016E70 
| text: 00016E70 ; void _ cdecl -[NotesDisplayController noteContentLayer:didChangeContentSize:](st 
[ text:00016E70 _ NotesDisplayController noteContentLayer didChangeContentSize - 

text:00016E70 ; DATA XREF: _ objc const:0004C680,o 


|, text:00016E70 Rl, #(selRef_reloadSearchedTermHighlight - Ox16E7C 
|. text:00016E78 R1, PC ; selRef reloadSearchedTermHighlight 

|. text:00016E7A R1, [R1] ; "reloadSearchedTermHighlight" 

|, text:00016E7C B.W j__objc_msgSend 

text:00016E7C ; End of function -[NotesDisplayController noteContentLayer:didChangeContentSize:] 


图 7-9 [NotesDisplayController | noteContentLayer:didChangeContentSize:] 


piay 
一 text:0001REB8 Attributes: bp-based frame 
[ text:0001AEB8 
|, text:0001AEB8 ; void _ cdecl -[NotesDisplayController noteContentLayerContentDidChange:updatedTitle: ] (st: 
[ text:0001AEB8 _ NotesDisplayController noteContentLayerContentDidChange updatedTitle - 
.  text:0001AEB8 ; DATA XREF: — objc const:0004C614,o 
text :0001АЕВ8 


|, text:0001AEB8 var 1C = -0х1С 

_ text:0001AEB8 

[ text:0001AEB8 PUSH {R4-R7 ,LR} 

[ text:0001AEBA ADD R7, SP, #0xC 
— text:0001AEBC PUSH.W (R8,R10,R11) 
|. text:0001AECO SUB SP, SP, #4 
[ text:0001AEC2 MOV R4, RO 


图 7-10  [NotesDisplayController noteContentLayerContentDidChange:updatedTitle:] 


两 者 的 基地 址 分 别 是 0x16E70 和 0x1AEB8， 因 此 断 点 地 址 分 别 是 0x4BE70 和 0x4FEB8。 下 2 个 断 点 ， 然 后 随便 打开 一 条 note 并 编辑 它 ， 看 看 断 点 会 不 会 停 ， 如 下 : 


(lldb) br s -a 0x4BE70 

Breakpoint 1: where = MobileNotes ` lldb unnamed function382$$MobileNotes, address = 0x0004be70 
(1146) br s -a 0x4FEB8 О = 

Breakpoint 2: where = MobileNotes`___lldb unnamed function458$$MobileNotes, address = 0x0004feb8 


你 得 到 的 结果 肯定 跟 笔 者 的 一 模 一 样 一 一 2 个 断 点 都 会 被 触发 很 多 次 ! 协议 方法 被 调用 ， 一 般 是 因为 方法 名 中 提 到 的 那个 事件 发 生 了 ; 而 那 件 事 发 生 的 对 象 ， 一 般 是 协议 方法 的 参数 。 在 当前 情况 下 ， 
则 表明 发 生 了 didChangeContentSsize 和 ContentDidChange 事 件 ， 而 content 本 身 很 可 能 就 是 参数 。 接 着 来 看 看 这 两 个 函数 的 第 一 个 参数 是 什么 ， 如 下 : 


(lldb) br com add 1 

Enter your debugger command(s). Туре 'DONE' to end. 
> po $r2 

>с 

> DONE 

(1146) br com add 2 

Enter your debugger command(s). Туре 'DONE' to end. 
> po $r2 

>c 

> DONE 

(114) c 


可 以 看 到 ， 输 出 中 有 很 多 的 NoteContentLayer， 如 下 : 


Process 24577 resuming 
Command #2 'с' continued the target. 


<NoteContentLayer: 0х14есаЁ50; frame = (0 0; 320 568); animations = { bounds.origin=<CABasicAnimation: 0x16fee090»; bounds.size-«CABasicAnimation: 0х16ѓее4а0>; position=<CABasi 


Process 24577 resuming 
Command #2 'c' continued the target. 


<NoteContentLayer: 0x14ecdf50; frame = (0 0; 320 568); animations = { bounds.origin=<CABasicAnimation: 0x16fee090»; bounds.size-«CABasicAnimation: 0х16ѓее4а0>; position=<CABasi 


Process 24577 resuming 

Command #2 'c' continued the target. 

<NoteContentLayer: 0х14есағ50; frame = (0 0; 320 568); layer = <CALayer: 0х14еса900>> 
Process 24577 resuming 

Command #2 'c' continued the target. 


既然 能 拿 到 NoteContentLayer， 多 半 能 够 从 中 获取 NoteContent。 打 开 NoteContentLayer.h， 看 看 它 提 供 了 些 什么 方法 ， 如 下 : 


Qinterface NoteContentLayer : UIView <NoteTextViewActionDelegate, Note TextViewLayoutDelegate, UITextViewDelegate> 
@property(retain, nonatomic) NoteTextView *textView; // @synthesize textView=_textView; 


@end 


NoteContentLayer 有 一 个 NoteTextView 的 属性 ， 而 在 本 章 的 开头 ， 用 Cycript 打 印 UI 层 次 的 时 候 ， 发 现 一 条 note 的 文字 就 是 显示 在 NoteTextView 之 上 的 。 更 改 一 下 断 点 命令 ， 把 NoteTextView 打 印 
EREA, WTF: 


(lldb) br com add 1 

Enter your debugger command (s). Type 'DONE' to end. 
> po [$r2 textView] 

> с 

> DONE 

(1146) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$r2 textView] 

> e 

> DONE 


然后 继续 编辑 这 条 note， 发 现 对 note 文 字 的 改动 全 都 体现 在 了 LLDB 的 输出 上 ， 如 下 : 


Process 24577 resuming 

Command #2 'c' continued the target. 

<NoteTextView: 0xl5aace00; baseClass = UICompatibilityTextView; frame = (6 28; 308 209); text = 'Secre'; clipsToBounds = YES; gestureRecognizers = «NSArray: 0xl4eddfc0>; layer 
Process 24577 resuming Е 

Command #2 'c' continued the target. 

<NoteTextView: Oxl5aace00; baseClass = UICompatibilityTextView; frame = (6 28; 308 209); text = 'Secret'; clipsToBounds = YES; gestureRecognizers = <NSArray: Oxl4eddfc0»; laye 


最 后 一 个 步骤 ， 就 是 从 NoteTextView 拿 到 text。 打 开 NoteTextView.h， 如 下 : 


@interface NoteTextView : UICompatibilityTextView <UIGestureRecognizerDelegate> 
{ 

id <NoteTextViewActionDelegate> actionDelegate; 

id <NoteTextViewLayoutDelegate>  layoutDelegate; 


} 
@property(nonatomic) _ weak id <NoteTextViewActionDelegate> actionDelegate; // @synthesize actionDelegate=_actionDelegate; 
@property(nonatomic) _ weak id <NoteTextViewLayoutDelegate> layoutDelegate; // @synthesize layoutDelegate=_layoutDelegate; 


@епа 


它 的 实现 并 不 长 ， 但 里 面 唯一 含有 text 字 样 的 ， 是 2 个 delegate， 显 然 不 会 返回 NSString 对 象 。text 不 在 它 自 己 实 现 里 ， 就 一 定 在 它 的 父 类 里 ， 打 开 _UICompatibilityTextView.h， 如 下 : 


@interface UICompatibilityTextView : UIScrollView <UITextLinkInteraction, UITextInput> 


@property(nonatomic) int textAlignment; 

@property (copy, nonatomic) NSString *text;- (ВОО) hasText; 
Gproperty (retain, nonatomic) UIColor *textColor; 

Gproperty (retain, nonatomic) UIFont *font; 

Gproperty (сору, nonatomic) NSAttributedString *attributedText; 


原来 text 在 这 里 。 用 LLDB 做 最 后 的 确认 ， 如 下 : 


(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po [[$r2 textView] text] 

> ë 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). “Type 'DONE' to end. 
> po [[$r2 textView] text] 

> e 

> DONE 

Secret. 

Process 24577 resuming 

Command #2 'c' continued the target. 

Secret i 

Process 24577 resuming 


Command #2 'c' continued the target. 


至 此 ， 我 们 成 功 找到 了 2 个 实时 监测 note 内 容 变 化 的 方法 (随便 选 一 个 就 好 了 ， 我 们 选 第 二 个 ) ， 并 且 可 以 拿 到 note 的 实时 文本 数据 ， 早 前 设计 的 3 个 功能 现在 已 经 全 部 实现 。 不 难 吧 ? 


73 ”逆向 结果 整理 


本 章 的 实例 是 针对 iOS 系 统 App 的 ， 在 完全 脱离 IDA， 仅 赁 Cycript 和 LLDB 的 情况 下 就 可 实现 相应 的 功能 (其实 这 里 是 用 LLDB 做 了 hook 的 工作 ， 换 用 Theos 可 达到 同样 效果 ) ， 虽 然 有 一 定 的 运气 成 分 ， 
但 这 也 正体 现 了 逆向 工程 的 不 确定 性 。 为 了 完成 Characount for Notes 8， 我 们 的 大 致 思路 是 下 面 这 样 的 。 


1n 


1. 在 界面 上 寻找 适合 显示 字数 的 地 方 和 方法 
NotesMiOS 6 演变 到 iOS 8 时 ， 原 来 的 标题 给 演变 没 了 ， 正 好 给 我 们 留 下 了 一 个 显示 字数 的 地 方 。 本 章 从 note 阅 览 界面 入 手 ， 通 过 Cycript 拿 到 NoteDisplayController， 成 功 搞定 显示 字数 的 方法 。 


2. 浏 览 class-dump 出 的 头 文件 ， 在 controller 类 里 找到 访问 model 的 方法 


通过 controller 访 问 model 是 MVC 设 计 标准 里 规定 的 ， 苹 果 自 身 出 品 的 App 一 定 会 遵守 这 个 标准 ， 因 此 在 NoteDisplayController 里 一 定 能 找到 访问 model 的 方法 。 我 们 仅仅 通过 浏览 头 文件 ， 
Cycript 测 斌 可 疑 的 属性 ， 就 拿 到 了 NoteObject， 从 而 拿 到 了 一 条 note 的 字数 。 


3. 在 protocol 里 寻找 实时 监测 字数 变化 的 方法 


实时 调用 的 函数 一 般 定义 在 protocol 中 ， 因 为 Objective-C 的 函数 名 可 读 性 高 ， 所 以 我 们 没有 严谨 地 使 用 DA 和 LLDB 来 寻找 能 够 实时 监测 字数 变化 的 方法 ， 而 是 遍历 了 含有 protocol 关 键 词 的 头 文件 ， 
人 工 筛选 后 再 用 LLDB 测 试 ， 结 果 很 快 就 找到 了 满足 要 求 的 方法 。 运 气 也 好 ， 猜 测 也 罢 ， 这 就 是 逆向 工程 的 魅力 所 在 。 


7.4 编写 tweak 
本 章 的 例子 比较 简单 ， 所 有 的 操作 都 可 以 在 NotesDisplayController 一 个 类 中 完成 。 


741 用 Theos 新 建 tweak 工 程 “CharacountForNotes8” 


新 建 CharacountForNotes8 工 程 的 命令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
.] iphone/notification_center widget 
] iphone/preference bundle ~ 
] iphone/sbsettingstoggle 
] iphone/tool 
] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): CharacountForNotes8 
Package Name [com.yourcompany.characountfornotes8]: com.naken.characountfornotes8 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.mobilenotes 
[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]: MobileNotes 
Instantiating iphone/tweak in characountfornotes8/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 
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7.4.2 构造 CharacountForNotes8.h 


编辑 后 的 CharacountForNotes8.h 内 容 如 下 : 


Qinterface NoteObject : NSObject 

@property (readonly, nonatomic) NSString *contentAsPlainText; 
@end 

@interface NoteTextView : UIView 

@property (copy, nonatomic) NSString *text; 

@end 

@interface NoteContentLayer : UIView 

@property (retain, nonatomic) NoteTextView *textView; 

@end 

@interface NotesDisplayController : UIViewController 
@property (retain, nonatomic) NoteContentLayer *contentLayer; 
Gproperty (retain, nonatomic) NoteObject *note; 

Gend 


这 个 头 文件 的 所 有 内 容 均 摘自 类 对 应 的 头 文件 ， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 任 何 报错 和 警告 。 


74.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "CharacountForNotes8.h" 
%hook NotesDisplayController 
- (void)viewWillAppear: (BOOL)argl // Initialze title 
{ 
Sorig; 
NSString *content = self.note.contentAsPlainText; 
NSString *contentLength - [NSString 
stringWithFormat:@"%lu", (unsigned long) [content length]]; 
self.title = contentLength; 


(void) viewDidDisappear: (BOOL)argl // Reset title 


Ba = 


Sorig; 
self.title = nil; 


- (void)noteContentLayerContentDidChange: (NoteContentLayer 
*) argl updatedTitle: (BOOL)arg2 // Update title 
{ 


Sorig; 

NSString *content = self.contentLayer.textView.text; 

NSString *contentLength - [NSString 
stringWithFormat:@"%lu", (unsigned long) [content length]]; 

self.title = contentLength; 


de 


end 


744 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME = CharacountForNotes8 
CharacountForNotes8_FILES = Tweak.xm 
include $(THEOS_MAKE PATH) /tweak.mk 
after-install:: 

install.exec "К111а11 -9 MobileNotes" 


编辑 后 的 control 内 容 如 下 : 


Package: com.naken.characountfornotes8 
Name: CharacountForNotes8 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Add a character count to Notes 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


7.4.5 测试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 打 开 Notes 随 便 编辑 一 条 note， 查 看 标题 的 字数 变化 是 否 可 做 到 完全 实时 ， 如 图 7- 
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图 7-16  Characount for Notes 8 效果 演示 (6) 
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图 7-17 Characount for Notes 8 效果 演示 (7) 


插件 的 表现 与 预期 完全 一 致 。 


75 WN 


作为 iOS 上 的 元 者 ，Notes 的 功能 虽然 简单 ， 它 却 是 很 多 人 日 常生 活 中 使 用 频 度 最 高 的 App 之 一 。 本 章 编 写 的 Characount for Notes 8 功能 比较 简单 ， 几 乎 可 以 脱离 高 级 逆向 工程 工具 来 完成 整个 分 析 过 


程 ， 希 望 初学 者 看 起 来 不 会 太 吃 力 。 汇 编 级 别 的 逆向 工程 学 习 起 来 难度 较 大 ， 需 要 的 时 间 投 入 较 多 ， 在 对 IDA 和 LLDB 还 比较 生 朴 的 档 口 ， 模 仿 本 章 的 思路 和 方法 ， 做 一 些 简单 的 Objective-C 逆 向 工程 ， 既 
可 以 培养 逆向 工程 的 思路 ， 又 可 以 给 自己 营造 小 小 的 成 就 感 ， 何 乐 而 不 为 呢 ? 


第 8 章 “实战 2: 自动 将 指定 电子 邮件 标记 为 已 读 
81 电子 邮件 


电子 邮件 是 互联 网 时 代 最 受 欢迎 的 沟通 渠道 之 一 ， 很 多 人 每 天 都 会 收发 邮件 。 虽 然 AppStore 上 有 很 多 优秀 的 邮件 App 可 供 选 择 ， 如 Sparrow、Inbox 等 ， 但 论 及 与 iOS 的 整合 度 ， 终 究 没 有 原生 邮件 客户 
їй (以 下 简称 Mail) 那样 高 ,因此 在 笔者 的 日 常 使 用 中 ，Mail 仍 是 首选 。 


在 我 们 日 常 收 到 的 邮件 里 ， 很 大 一 部 分 是 没有 太 多 价值 的 “订阅 ”邮件 一 一 它们 要 么 是 活动 通知 ， 


么 是 软文 广告 一 一 这 些 邮 件 都 是 我 们 在 各 种 网 站 上 无 意 间 义 选 “ 订 阅 ”而 收 到 的 ， 如 图 8-1 所 示 。 


这 类 邮件 很 让 人 纠结 。 它 们 不 算 严 格 意义 上 的 垃圾 邮件 ， 却 容易 分 散 注意 力 ; 可 是 把 它们 标记 为 垃圾 
We? 笔者 有 一 个 想法 : {Майд 


pg 件 吧 ， 又 有 可 能 错过 有 价值 的 信息 。 那 么 该 怎样 处 理 这 一 类 介 于 正常 邮件 和 垃圾 邮件 之 间 的 邮件 
白 名 单 功能 ， 把 常用 联系 人 加 入 白 名 单 ; 来 自白 名 单 以 外 的 邮件 全 都 自动 标记 为 已 读 ， 这 样 就 能 在 不 遗漏 信息 的 情况 下 突出 重点 ， 如 图 8-2 所 示 。 


КА, 


| 
> 


把 这 个 想法 给 具体 化 ， 就 是 本 章 的 任务 。 


Т) 在 Mail 界 面 上 的 某 个 地 方 加 个 按钮 ， 点 击 后 出 现 可 编辑 的 白 名 单列 表 ， 以 便 进 行 添加 、 删 除 白 名 单 操作 。 


2) 每 次 Mail 的 收 件 箱 刷新 后 ， 自 动 


= 


巴 白 名 单 以 外 的 邮件 标记 为 已 读 。 


明确 了 本 章 的 任务 ， 接 下 来 就 一 步 步 地 实现 目标 。 下 面 的 操作 在 iPhone 5, iOS 8.1.1 中 完成 。 
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图 8-2 ”把 白 名 单 以 外 邮件 标记 为 已 读 


第 8 章 ”实战 2: 自动 将 指定 电子 邮件 标记 为 已 读 
8.1 电子 邮件 


电子 邮件 是 互联 网 时 代 最 受 欢迎 的 沟通 渠道 之 一 ， 很 多 人 每 天 都 会 收发 邮件 。 虽 然 AppStore 上 有 很 多 优秀 的 邮件 App 可 供 选 择 ， 如 Sparrow、Inbox 等 ， 但 论 及 与 iOS 的 整合 度 ， 终 究 没有 原生 邮件 客户 
їй (以 下 简称 Mail) 那样 高 ,因此 在 笔者 的 日 常 使 用 中 ，Mail 仍 是 首选 。 


在 我 们 日 常 收 到 的 邮件 里 ， 很 大 一 部 分 是 没有 太 多 价值 的 “订阅 ”邮件 一 一 它们 要 么 是 活动 通知 ， 要 么 是 软文 广告 一 一 这 些 邮件 都 是 我 们 在 各 种 网 站 上 无 意 间 勾 选 “ 订 阅 ” 而 收 到 的 ， 如 图 8-1 所 示 。 


这 类 邮件 很 让 人 纠结 。 它 们 不 算 严 格 意义 上 的 垃圾 邮件 ， 却 容易 分 散 注意 力 ; 可 是 把 它们 标记 为 垃圾 邮件 吧 ， 又 有 可 能 错过 有 价值 的 信息 。 那 么 该 怎样 处 理 这 一 类 介 于 正常 邮件 和 垃圾 邮件 之 间 的 邮件 
We? 笔者 有 一 个 想法 : 给 Mail 加 一 个 白 名 单 功能 ,把 常用 联系 人 加 入 白 名 单 ， 来 自白 名 单 以 外 的 邮件 全 都 自动 标记 为 已 读 ， 这 样 就 能 在 不 遗漏 信息 的 情况 下 突出 重点 ， 如 图 8-2 所 示 。 


КА, 


把 这 个 想法 给 具体 化 ， 就 是 本 章 的 任务 。 


Т) 在 Mail 界 面 上 的 某 个 地 方 加 个 按钮 ， 点 击 后 出 现 可 编辑 的 白 名 单列 表 ， 以 便 进行 添加 、 删 除 白 名 单 操作 。 


2) 每 次 Mail 的 收 件 箱 刷新 后 ， 自 动 把 白 名 单 以 外 的 邮件 标记 为 已 读 。 


明确 了 本 章 的 任务 ， 接 下 来 就 一 步 步 地 实现 目标 。 下 面 的 操作 在 iPhone 5, iOS 8.1.1 中 完成 。 
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H8-2 ”把 白 名 单 以 外 邮件 标记 为 已 读 


8.2 ”搭建 tweak 原 型 


Mail 的 初始 界面 如 图 8-3 所 示 。 


把 白 名 单 按钮 添加 在 哪个 位 置 比较 直观 呢 ? 在 图 8-3 所 示 的 All Inboxes 界 面 中 ， 可 以 看 到 ， 其 左下 角 是 空缺 的 ， 或 许可 以 把 按钮 添加 在 这 里 ， 试 试看 效果 吧 ， 如 图 8-4 所 示 。 


虽然 添加 的 白 名 单 按钮 与 右 下 方 的 “编写 ”按钮 在 方位 上 对 齐 了 ， 但 前 者 是 文字 ， 后 者 是 图 标 ， 形 式 不 统一 ， 不 够 美观 ， 可 见 ， 左 下 角 不 适合 添加 文字 按钮 。 如 果 改 成 一 个 图 标 按钮 呢 ? 可 能 也 会 有 问 
题 ， 因 为 “ 白 名 单 ”没有 约定 俗 成 的 图 形 表达 方式 ， 找 不 到 一 个 比较 有 代表 性 的 图 标 来 表示 白 名 单 ， 所 以 用 图 标 按钮 表示 白 名 单 不 够 直观 。 直 观 、 美 观 不 可 兼 得 ， 看 来 在 这 个 界面 上 不 大 适合 添加 白 名 单 按 
钮 。 点 击 左上 角 的 “Mailboxes” ， 去 上 一 级 界面 看 看 ， 如 图 8-5 所 示 。 


图 8-5 所 示 的 界面 左上 和 左下 均 是 空 着 的 ， 其 中 左下 不 适合 添加 白 名 单 按钮 ， 刚 才 已 经 讨论 过 了 。 把 按钮 添加 在 左上 看 看 效果 ， 如 图 8-6 所 示 。 
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图 8-6 在 左上 角 添 加 白 名 单 按钮 


看 起 来 效果 还 不 错 ， 就 把 白 名 单 按钮 放 在 这 里 吧 ! 要 达到 图 8-6 所 示 的 效果 ， 只 需要 找到 Mailboxes 界 面 的 controller， 然 后 通过 [controller.navigationltem setLeftBarButtonltem:] 来 添加 白 名 单 按钮 
就 可 以 了 。 通 过 V 找 C 的 过 程 前 面 已 经 重复 过 很 多 遍 ， 是 可 行 的。 搞定 了 按钮 ， 接 下 来 就 是 对 白 名 单 工作 逻辑 的 梳理 了 ， 可 以 分 为 以 下 3 步 : 


1) 拿 到 所 有 邮件 ; 


2) 提取 出 它们 的 地 址 ; 


3) 根据 白 名 单 决定 是 否 将 它们 标记 为 已 读 。 


下 面 来 一 步 步 分 析 ， 一 起 来 思考 : 


- 要 如 何 才能 拿 到 所 有 邮件 呢 ? 图 8-3 所 示 的 界面 可 以 下 拉 刷 新 收 件 箱 ， 如 图 8-7 所 示 。 


егесс 中国 联通 3G .: 14:38 097% ШШ. 


< Gmail Inbox Edit 


M 


Q. Search 


Biker su 


тии 
"PL MTS шаани 


isl 


bd. b коза ees reel _ 
Кии. EMI oo eee 


ш 


@ NYTimes.com 06:34 . 
Asian Morning: Obama Announces U.... 
View in Browser Add 


在 刷新 的 过 程 中 ，Mail 会 去 邮件 服务 器 上 获取 最 新 邮件 ;刷新 完成 后 ， 界 面 恢复 到 
所 有 邮件 了 。 因 此 ，“ 拿 到 所 有 邮件 ”可 以 分 为 2 步 : 一 是 捕获 “刷新 完成 ”事件 ; 二 是 读 取 收 件 箱 。 其 中 ， 


Connecting... 


图 8-7 FERS 


图 8-3 所 示 的 样子 ， 此 时 收 件 箱 里 存放 的 就 是 所 有 邮件 。 如 果 能 捕获 “刷新 完成 ”事件 ， 然 后 读 取 收 件 箱 ， 就 可 以 拿 到 
“刷新 完成 ”的 响应 函数 一 般 是 定义 在 protocol 里 的 ， 在 分 析 class-dump 头 文件 的 时 候 ， 要 留 


意 各 种 protocol 里 有 没有 出 现 didRefresh、didUpdate、didReload 之 类 名 字 中 含有 完成 时 态 动词 的 函数 ， 钩 住 (hook) 它 ， 然 后 寻找 读 取 收 件 箱 的 方法 ， 从 而 拿 到 所 有 邮件 。 


“ 一 封 邮件 就 是 一 个 对 象 ， 它 一 般 会 用 一 个 类 来 表示 ， 从 这 个 类 中 可 以 提取 出 邮件 的 收 件 人 、 发 件 人 、 标 题 、 内 容 和 是 否 已 读 等 信息 。 如 果 能 拿 到 邮件 对 象 ， 就 可 以 一 石 二 鸟 ， 完 成 后 两 步 操 作 。 


看 上 去 整体 思路 并 不 复杂 ， 下 面 就 来 各 个 击破 。 


8.2.1 定位 Mail 的 可 执行 文件 并 class-dump 它 


通过 ps 命令 很 容易 就 能 定位 到 Mail 的 可 执行 文件 “/Applications/MobileMailapp/MobileMail”。 因 


为 MobileMail 是 iOSs 原 生 系统 App， 没 有 加 壳 ， 所 以 不 需要 磺 壳 ， 直 接 class-dump 即 可 ， 如 下 : 


snakeninnys-MacBook:~ snakeninny$ class-dump -S -s -H /Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/MobileMail.app/MobileMail -o /Users/snakeninny/Code/iOSPrivateHeade 


程序 执行 后 ， 共 得 到 393 个 头 文件 ， 如 图 8-8 所 示 。 
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图 8-8  class-dump X x fF 


8.2.2 把头 文件 导入 Xcode 


Xcode 自 带 的 查找 功能 和 代码 高 亮 显示 能 够 较为 美观 整洁 地 展示 大 量 头 文件 ， 如 图 8-9 所 示 。 
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MailboxSource.h MailboxContentViewCell.h MailboxContentViewController.h 
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ContextDictionary.h MFAddressBookClient, UITableViewDelegate, UITableViewDataSource, UISearchDisplayDelegate, 
» Н TransferMailboxPickerDelegate, AutoFetchControllerDataSource> 


_FontBasedSpec.h 


_MailboxConten...IILayoutValues.h 2 мит: *_mall; i 

MBLC: MessagesJob 6 MessageMegaMall *_searchMall; 

z "OM h MFMessageViewingContext *_viewingContext; 
_MBLGetNextCI...rMessageJob.h 2 MFMessageViewingContext *_swipeActionViewingContext; 


_MBLLoadForClientJob.h 2 float , savedContentOffset; 


3 MailboxContentViewController * threadViewController; 
-MBLLoadMessageJob.h 3 long long _currentConversationID; 
.MCSJunk.h unsigned int _currentSection; 
MCVC. ontext UIBarButtonItem * multiEditButtonItem; 
" — = UIBarButtonItem *_searchEditButtonItem; 
_MessageHeaderLayoutToolbox.h 5 UIBarButtonItem *_deleteButtonItem; 
MFResultsGeneratorh E UIBarButtonItem * moveButtonItem; 
> 7 UIBarButtonItem *_markButtonItem; 

SearchAiternati' А 3 UITableViewCell + | 

-MF vesOperation.h UITableViewCell x» cellDimmedDuringcompose; 
.MSMailService...ummaryClient.h 3 NSArray * defaultToolbarItems; 

) NSArray * multiEditBarButtonItems; 
Ben re ee NSArray *_searchBarButtonItems; 
-ThreadSafeContainer.h NSArray *_searchMultiEditBarButtonItems; 


ABPeoplePicker...gate-Protocol.h UISearchDisplayController *_searchController; 


UISearchBar *_searchBar; 
ABPeoplePicker...gate-Protocol.h SearchScopeControl *_searchScopeControl; 


h ABPersonViewC...gate-Protocol.h MFSearchTextParser *_searchTextParser; 
h: ABPersonViewC...gate-Protocol.h 7 MFMessageCriterion *_dateCriterion; 

=ч 3 struct __CFDictionary *_commentCache; 
h ABUnknownPer...troller-Rotation.h NSArray *_myAddresses; 


h ABUnknownPer...egate-Protocol.h 0 MFActivityMonitor *_fetchActivityMonitor; 
° Sa UIView #_deleteButtonView; 
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8-9 ”把 头 文 件 导 入 Xcode 


接 下 来 ， 开 始 寻找 线索 ， 从 App 切 入 代码 。 


82.3 用 Cycript 找 到 Mailboxes 界 面 的 controller 


首先 用 recursiveDescription 打 印 出 Mailboxes 界 面 的 UI 布局 ， 如 下 : 


FunMaker-5:~ root# cycript -р MobileMail 

cy# ?expand 

expand == true 

cy# [[UIApp keyWindow] recursiveDescription] 

@"<UIWindow: Ox156bffe0; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x156bd390>; layer = <UIWindowLayer: 0x156clbe0>> 
| <UIView: 0x15611490; frame = (0 0; 320 568); autoresize = W+H; gestureRecognizers = <NSArray: 0x15618e70>; layer = <CALayer: 0x15611420>> 
| | <UIView: 0х15611210; frame = (0 0; 320 568); layer = <CALayer: 0х15611280>> 

| | <_MFActorItemView: 0x15614660; frame = (0 0; 320 568); layer = «CALayer: 0х15614840>> 


1 | <UIView: 0x156150f0; frame = (-0.5 -0.5; 321 569); alpha = 0; layer = <CALayer: 0х15615160>> 
| < MFActorSnapshotView: 0x15614bb0; baseClass = UISnapshotView; frame = (0 0; 320 568); clipsToBounds = YES; hidden = YES; layer = <CALayer: 0x15614e00>> 
| | <UIView: 0x15614f40; frame = (-1 -1; 322 570); layer = «CALayer: 0x15614fb0>> 


1 | <UIView: 0x1683d890; frame = (0 0; 320 0); layer = <CALayer: 0x16848140>> 


| 

| | 
| | 
| | 
| | 
| | 
| | | | <UILayoutContainerView: 0x157246b0; frame = (0 0; 320 568); clipsToBounds = YES; gestureRecognizers = <NSArray: 0х156088е0>; layer = <CALayer: 0x15724€ 


| 
| 
1 | <UILayoutContainerView: 0х1572ес40; frame = (0 0; 320 568); clipsToBounds = YES; autoresize = LM+W+RM+TM+H+BM; layer = <CALayer: 0x1572ecc0>> 
| 
| 


| | I | | | | | l | <MailboxTableCell: 0x1572ad50; baseClass = UITableViewCell; frame = (0 28; 320 44.5); autoresize = W; layer = <CRLayer: 0x1682 
| | | | | | | | | | | <UITableViewCellContentView: 0x16829b70; frame = (0 0; 286 44); gestureRecognizers = <NSArray: 0x1682b060>; layer = <CALe 
| | | | | | | | | | | | <UILabel: 0x1682b0a0; frame = (55 12; 84.5 20.5); text = 'All Inboxes'; userInteractionEnabled = NO; layer = « UILak 


其 中 ， 最 下 方 的 这 个 UILabel 上 的 文字 是 “All Inboxes”， 其 对 应 的 MailboxTableCell 自 然 就 是 图 8-5 中 最 上 面 的 一 个 cell 了 。 连 续 调用 nextResponder， 找 出 这 个 界面 的 controller， 如 下 : 


Cy# [#0x1572ad50 nextResponder] 

#"<UITableViewWrapperView: 0x1572fe60; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x15730370>; layer = <CALayer: 0x157301a0>; contentOffset: (0, 0}; contentSize: (š 
Cy# [#0x1572fe60 nextResponder] 

#"<UITableView: 0х1585а000; frame = (0 0; 320 568); clipsToBounds = YES; autoresize = W*H; gestureRecognizers = <NSArray: 0x1572fa20>; layer = «CALayer: 0x1572f540»; contentOff 
cy# [#0x1585a000 nextResponder] 

#"<MailboxPickerController: 0x156e9260>" 


很 轻松 地 拿 到 了 MailboxPickerController。 试 试看 用 它 能 不 能 添加 一 个 leftBarButtonltem， 如 下 : 


Cy# #0x156e9260.navigationItem.leftBarButtonItem = #0x156e9260.navigationItem. rightBarButtonItem 
#"<UIBarButtonItem: 0x15729£00>" 


效果 如 图 8-10 所 示 。 
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图 8-10 


没有 问题 ，MailboxPickerController 就 是 Mailboxes 界 面 的 controller， 可 以 通过 它 添加 白 名 单 按钮 。 


8.24 ”用 Reveal 和 Cycript 找 到 All Inboxes 界 面 的 delegate 


搞定 了 白 名 单 按钮 ， 就 要 开始 梳理 白 名 单 的 工作 逻辑 了 ， 先 看 看 如 何 捕获 “刷新 完成 ”事件 。 
面 的 delegate 中 。 转 战 到 图 8-3 所 示 的 All Inboxes 界 面 ， 这 里 不 再 时 


setLeftBarButtonItem: 的 效果 


下 面 就 用 Reveal 查 看 Mail， 很 容易 就 可 以 定位 到 最 上 方 的 那个 cell， 如 图 8-11 所 示 。 
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因为 “刷新 完成 ”是 直观 表现 在 All Inboxes 界 面 上 的 ， 所 以 “刷新 完成 ”的 响应 函数 很 可 能 定义 在 这 个 界 
复 8.2.3 节 的 方法 ， 而 是 先 通过 Reveal 定 位 这 个 界面 的 cell， 再 用 Cycript 找 出 它 所 在 的 UITableView， 从 而 得 知 其 delegate。 
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图 8-11 用 Reveal 查 看 Mail 的 UI 布局 


MailboxContentViewCell 就 是 显示 邮件 发 件 人 、 标 题 和 摘要 的 cell。 接 着 用 Cycript 找 出 它 所 在 的 UITableView: 


choose 命 令 获取 这 些 对 象 ， 而 不 


劳 烦 recursiveDescription 她 老人 家 了 ， 如 下 : 


因为 我 们 知道 当前 界面 一 定 存在 MailboxContentViewCell 对 象 ， 所 以 可 以 尝试 通过 


FunMaker-5:~ root# cycript -р MobileMail 
cy# choose (MailboxContentViewCell) 
[#"<MailboxContentViewCell: 0х161#4000> cellContent", #"<MailboxContentViewCell: 0х1621с400> cellContent", #"<MailboxContentViewCell: 0x1621d000> cellContent", #"<MailboxContentVi 


choose 命 令 返 回 了 一 个 由 MailboxContentViewCell 对 象 组 成 的 NSArray， 从 中 随便 挑选 一 个 MailboxContentViewCell 对 象 ， 对 其 连续 调用 nextResponder， 如 下 : 


cy# [choose (MailboxContentViewCell) [0] nextResponder] 
#"<UITableViewWrapperView: 0x15660b80; frame = (0 0; 320 612); gestureRecognizers = <NSArray: 0x16855170>; layer = <CALayer: 0x16888f20>; contentOffset: (0, 0); contentSize: {3 
cy# [#0x15660b80 nextResponder] 
#"<MFMailboxTableView: 0x16095000; baseClass = UITableView; frame = (0 0; 320 568); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = «NSArray: 0x15607850>; layer = < 


它 所 在 的 UITableView 是 一 个 MFMailboxTableView 对 象 ， 看 看 它 的 delegate 是 什么 ， 如 下 : 


cy# [#0x16095000 delegate] 


#"<Mai lboxContentViewController: 0х16106000>" 


它 的 delegate 是 MailboxContentViewController。 继 续 调用 nextResponder， 看 看 它 的 controller 又 是 什么 ， 如 下 : 


Cy# [#0x16095000 nextResponder] 
#"<MailboxContentViewController: 0х16106000>" 


也 就 是 说 ，MFMailboxTableView 的 controller 和 delegate 均 是 MailboxContentView-Controller。 简 单 验证 一 下 controller 的 正确 性 ， 如 下 : 


Cy# [#0x16106000 setTitle:@"iOSRE"] 


效果 如 图 8-12 所 示 。 
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8-12 setTitle: 的 效果 


这 个 结果 说 明 上 述 一 系列 推导 没有 问题 ，MailboxContent-ViewController 中 很 可 能 既 含 有 “刷新 完成 ”的 响应 函数 ， 又 能 找到 读 取 收 件 箱 的 蛛丝马迹 ， 接 下 来 就 把 焦点 放 在 它 身上 了 。 


8.2.5 在 MailboxContentViewController 中 定位 “刷新 完成 ”的 响应 函数 


与 第 7 章 一 样 ， 先 来 看 看 MailboxContentViewController 实 现 了 哪些 protocol， 能 不 能 在 其 中 找到 可 疑 的 响应 函数 ， 如 下 : 


@interface MailboxContentViewController : UIViewController <MailboxContentSelectionModelDataSource, MFSearchTextParserDelegate, MessageMegaMallObserver, MFAddressBookClient, ME 


MBS Н) BATHE, MFSearchTextParserDelegate, MFAddressBookClient, UlPopoverPresentationControllerDelegate, UlTableViewDelegate, UlTableViewDataSource, 
UlSearchDisplayDelegate、UlSearchBarDelegate 看 起 来 跟 “ 刷 新 完成 ”没什么 关系 ， 可 以 直接 排除 。 剩 下 的 MailboxContentSelectionModelDataSource、MessageMegaMallObserver、 
MFMailboxTableViewDelegate、TransferMailboxPickerDelegate 和 AutoFetchControllerDataSource 还 不 好 说 ， 那 就 挨个 过 一 遍 。 先 看 MailboxContentSelectionModelDataSource.h， 内 容 如 下 : 


protocol MailboxContentSelectionModelDataSource <NSObject> 
(BOOL) selectionModel: (id)argl deleteMovesToTrashForTableIndexPath: (id) arg2; 
(void) selectionModel: (id)argl getConversationStateAtTableIndexPath: (id)arg2 hasUnread: (char *)arg3 hasUnflagged: (char *)arg4; 
(void) selectionModel: (id)argl getSourceStateHasUnread: (char *)arg2 hasUnflagged: (char *)arg3; 
(id) selectionModel: (id)argl indexPathForMessageInfo: (id) arg2; 
(id) selectionModel: (id) argl messageInfosAtTableIndexPath: (id) arg2; 
(id) selectionModel: (id) argl messagesForMessageInfos: (id) arg2; 
(BOOL) selectionModel: (id) argl shouldArchiveByDefaultForTableIndexPath: (id) arg2; 
(id) selectionModel: (id) argl sourceForMessageInfo: (id) arg2; 
(BOOL) selectionModel: (id) argl supportsArchivingForTableIndexPath: (id) arg2; 
(id) sourcesForSelectionModel: (id) argl; 
@end 


@ 


这 个 protocol 的 作用 看 上 去 是 读 取 数 据 源 ， 跟 “刷新 数据 源 ” 没 太 大 关系 。 接 着 看 MessageMegaMallObserver.h， 内 容 如 下 : 


@protocol MessageMegaMallObserver <NSObject> 

(void)megaMallCurrentMessageRemoved: (id) argl; 

void) megaMal1DidFinishSearch: (id) argl; 

void) megaMal1DidLoadMessages: (id) argl; 

void) megaMallFinishedFetch: (id) argl; 

void)megaMallGrowingMailboxesChanged: (id) argl; 

void) megaMal1MessageCountChanged: (id) argl; 

void) megaMal1MessagesAt IndexesChanged: (id) argl; 
(void) megaMallStartFetch: (id) argl; 

@end 


( 
( 
( 
( 
( 
( 


这 个 类 中 的 不 少 函数 名 含有 完成 时 态 动词 ， 同 时 ， 从 “LoadMessages”、“FinishedFetch”、“MessageCountChanged” 等 函数 的 名 字 上 来 看 ， 它 可 能 会 在 刷新 完成 的 前 后 得 到 调用 。 接 下 来 
LLDB 在 这 3 个 函数 的 开头 部 分 下 断 点 ， 然 后 下 拉 刷 新 收 件 箱 ， 看 看 它们 的 调用 情况 。 首 先 用 LLDB 附 加 MobileMail， 查 看 其 ASLR 偏 移 ， 如 下 : 


(1140) image list -o -f 

[ 0] 0x000b2000/private/var/db/stash/_.1nBgU8/Applications/MobileMail.app/MobileMail (0x00000000000b6000) 

[ 1] 0x003b7000/Library/MobileSubstrate/MobileSubstrate.dylib (0x00000000003b7000) 

[ 2] 0x090d1000/Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/usr/lib/libarchive.2.dylib 

{ 3] 0x090c3000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1.1 (12B435)/Symbols/System/Library/Frameworks/CloudKit.framework/CloudKit 


可 以 看 到 ，ASLR 偏 移 是 0x000b2000。 然 后 把 MobileMail 拖 进 IDA， 待 初始 分 析 完成 后 ， 查 看 [MailboxContentViewController megaMallDidLoadMessages:], 
[MailboxContentViewControllermegaMallFinishedFetch:] 和 [MailboxContentViewController megaMallMessageCountChanged:] 的 基地 址 ， 如 图 8-13、 图 8-14 和 


8-15 所 示 。 


D 


essages: 
text: 0003DCEO Attributes: bp-based frame 
text:0003DCEO 
text:0003DCEO ; void _ cdecl -[MailboxContentViewController megaMallDidLoadMessag 
text:0003DCEO ^ MailboxContentViewController megaMallDidLoadMessages - 
text:0003DCEO ; DATA XREF: _ objc const:O 
text:0003DCEO 


text:0003DCEO var 20 = -0x20 

text:0003DCEO var 1C = -0х1С 

text:0003DCEO 

text:0003DCEO {R4-R7,LR} 
text :0003DCE2 R7, SP, #0xC 
text:0003DCE4 


8-13 [MailboxContentViewController megaMallDidLoadMessages:] 


void _ cdecl -[MailboxContentViewController megaMallFinishedFe 
. MailboxContentViewController megaMallFinishedFetch - 
; DATA XREF: _ objc cons 


-0x20 
-0x1C 
-0x18 
-0x14 
-0x10 
-0хс 


var_20 
var_1C 
var_18 
var_14 
var_10 
var C 


(R7,LR) 
R7, SP 
SP, SP, #0x18 


text:0003DE4A R7, SP, #0xC 
text :0003DE4C {R8,R10,R11} 
text :0003DE50 R4, SP, #0x18 
text :0003DE54 R4, R4, #ОхЕ 
text :0003DE58 SP, R4 


D0039E48 0003DE48: -[MailboxContentViewController megaMallMessageCountChanged:] 


图 8-15 [MailboxContentViewController megaMallMessageCountChanged:] 


它们 的 基地 址 分 别 是 0x3dce0、0x3d860 和 0x3de48。 用 LLDB 在 这 些 地 址 上 下 断 点 ， 然 后 下 拉 刷 新 ， 触 发 断 点 ， 如 下 : 


(lldb) br s -a '0x000b2000+0x3dce0' 
Breakpoint 1: where = MobileMail' 1146 unnamed function992$$MobileMail, addrss = 0x000efce0 
(lldb) br s -a '0x000b2000+0x3d860" 
Breakpoint 2: where = MobileMail' ^ lldb unnamed function987$$MobileMail, addrss = 0x000ef860 
(lldb) br s -a '0x000b2000+0x3de48" 
Breakpoint 3: where = MobileMail' ^ lldb unnamed function993$$MobileMail, addrss = 0x000efe48 


可 能 有 读者 在 这 里 会 碰 到 跟 笔 者 相同 的 情况 : 三 个 断 点 一 个 也 没有 触发 。 从 事 过 网 络 编程 的 朋友 可 能 会 猜 到 原因 一 一 为 了 减轻 邮件 服务 器 的 负担 ， 节 省 iOS 流 量 ， 并 不 是 每 次 下 拉 刷 新 都 会 去 服务 器 取 
数据 。 如 果 刷 新 时 间 间 隔 不 长 ， 收 件 箱 的 数据 源 就 会 是 本 地 缓存 ， 不 会 调用 MessageMegaMallObserver 中 的 方法 。 为 了 验证 这 个 猜测 ， 我 们 往 自 己 的 邮箱 发 一 封 邮 件 ， 然 后 下 拉 刷 新 ， 看 看 断 点 触发 情 
m, ШЕ: 


Process 73130 stopped 
* thread #44: tid = 0x14c10, 0x000ef860 MobileMail` lldb unnamed function987$$ MobileMail, stop reason = breakpoint 2.1 
frame #0: 0x000ef860 MobileMail" lldb unnamed function987$$MobileMail 
MobileMail'  1lldb unnamed function987$$MobileMail: 
—> Oxef860: ^ push {r7, 1r} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Oxef866: тоум rl, #44962 
(1180) c 
Process 73130 resuming 
Process 73130 stopped 
* thread #44: tid = 0х14с10, 0x000ef860 MobileMail~ lldb unnamed function987$$ MobileMail, stop reason = breakpoint 2.1 
frame #0: 0x000ef860 MobileMail" lldb unnamed function987$$MobileMail 
MobileMail' ^ lldb unnamed function987$$MobileMail: 
-> Oxef860: ^ push (r?, Ur} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Oxef866: тоум rl, #44962 
(lldb) c 
Process 73130 resuming 
Process 73130 stopped 
* thread #1: tid = Oxlldaa, 0x000efe48 Морі1еМаі1` lldb unnamed function993$$ MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: 0x000efe48 MobileMail" lldb unnamed function993$$MobileMail 
MobileMail~ lldb unnamed function993$$MobileMail: 
-> Oxefe48: ^ push {r4, r5; r6, £7; lr] 
Охеғе4а: add r7, sp, #12 
Oxefe4c: push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(11db) 
Process 73130 resuming 
Process 73130 stopped 
* thread #1: tid = Oxlldaa, 0x000efe48 MobileMail" lldb unnamed function993$$ MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: Ox000efe48 Морі1еМаі1` lldb unnamed function993$$MobileMail 
MobileMail~ lldb unnamed function993$$MobileMail: 
—> Oxefe48: push (r4, r5, r6, r7, lr} 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(11db) 
Process 73130 resuming 
Process 73130 stopped 
* thread #44: tid = 0х14с10, 0x000ef860 MobileMail" lldb unnamed function987$$ MobileMail, stop reason = breakpoint 2.1 
frame #0: 0х000е#860 Морі1еМаі1` 1140 unnamed function987$$MobileMail 
MobileMail` lldb unnamed function987$$MobileMail: 
—> Oxef860: push (r7, 1r} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Охе#866: тоун rl, #44962 
(114) c 
Process 73130 resuming 


果不其然 ，megaMallFinishedFetch: 和 megaMallMessageCountChanged: 被 交替 调用 。 从 名 字 上 来 看 ， 一 封 邮 件 就 是 一 个 message，megaMallFinishedFetch: 应 该 会 在 iOS 成 功 地 从 服务 器 取 回 邮 
件 之 后 得 到 调用 ， 而 megaMallMessageCountChanged: 应 该 会 在 邮件 数量 发 生变 动 ， 即 收 邮 件 和 删 邮 件 时 得 到 调用 ， 两 者 自然 都 会 在 “刷新 完成 ”时 得 到 调用 ， 都 可 以 看 作 “ 刷 新 完成 ”的 响应 函数 。 两 
者 随便 选 其 一 ， 这 里 选择 megaMallMessageCountChanged:， 接 下 来 的 任务 是 寻找 拿 到 所 有 邮件 的 方法 。 


82.6 从 MessageMegaMall 中 拿 到 所 有 邮件 


得 第 7 章 中 说 过 的 “协议 方法 被 调用 ， 一 般 是 因为 方法 名 中 提 到 的 那个 事件 发 生 了 ; 而 那 件 事 发 生 的 对 象 ， 一 般 是 协议 方法 的 参数 ” 吗 ? 删 掉 前 2 个 断 点 ， 保 留 第 3 个 ， 也 就 是 
о ау ei 看 看 它 的 参数 是 什么 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Oxlldaa, 0x000efe48 MobileMail` lldb unnamed function993$$ MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame 40: 0x000efe48 MobileMail` 1140 unnamed function993$$MobileMail 
MobileMail' ^ 1146 unnamed function993$$MobileMail: 
-> Oxefe48: push (r4, r5, r6, r7, lr) 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(1140) po $r2 
NSConcreteNotification 0x157e8af0 (name = MegaMallMessageCountChanged; object = «MessageMegaMall: 0x1576c320>; userInfo = { 
"added-message-infos" = ( 
"«MFMessageInfo: 0x157c86d0» uid-1185, conversation-2777228998582613276" 
); 


destination = "{(\п)}"; 

inserted = "((Nn <NSIndexPath: 0x157e8ac0> {length = 2, path = 0 - 0}\n)} 
relocated = "{ (\п) }"; 

updated = "{ ( An ju; 


}} 


可 以 看 到 ， 参 数 是 一 个 NSConcreteNotification 对 象 。 查 看 


头 文件 ， 可 知 它 继承 自 NSNotification。 它 的 name 是 MegaMallMessageCountChanged，object 是 一 个 MessageMegaMall 对 


象 ，userlnfo 是 一 些 改动 信息 。“MegaMall” 这 个 名 字 很 值得 玩味 ，“ 大 型 购物 中 心 ”， 看 似 与 邮件 毫 不 相关 ， 却 又 与 “Message” 寸 步 不 离 ， 与 8.2.4 节 分 析 的 MessageMegaMallObserver 遥 相 呼应 ， 


疑似 为 一 个 存储 “Message” 的 类 。 打 开 MessageMegaMall.h， 看 看 它 的 内 容 ， 如 下 : 


Qinterface MessageMegaMall : NSObject <MessageMiniMallObserver, Message SelectionDataSource> 


- (id)copyAllMessages; 

Gproperty (retain, nonatomic) MFMailMessage *currentMessage; 
(void) loadOlderMessages; 

- (unsigned int) localMessageCount; 
(unsigned int)messageCount; 
(void) markAl1MessagesAsNotViewed; 

- (void) markAl1lMessagesAsViewed; 
(void) markMessagesAsNotViewed: (id) argl; 
(void) markMessagesAsViewed: (id) argl; 


lend 


线索 有 些 明 朗 了 : 复制 所 有 邮件 、 当 前 邮件 、 读 取 早 期 邮件 、 本 地 邮件 计数 、 邮 件 计数 、 标 为 已 读 .….MessageMegaMall 应 该 就 是 一 个 管理 所 有 邮件 对 象 的 M ， 它 被 苹果 形象 地 比喻 为 “大 型 购物 中 


с 


。 那 么 到 底 能 不 能 通过 copyAlIMessages 拿 到 所 有 的 邮件 呢 ? 在 LLDB 里 试 一 下 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Oxlldaa, 0x000efe48 MobileMail' _ 1ldb unnamed function993$$ MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: 0x000efe48 Морі1еМаі1` lldb unnamed function993$$MobileMail 
MobileMail' ^ 1146 unnamed function993$$MobileMail: 
-> Oxefe48: push [r4, r5, r6, r7, lr] 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(11а) po [[$r2 object] copyAllMessages] 
t 
<MFLibraryMessage 0x15612030: library id 89, remote id 13020, 2014-11-25 20:32:16 +0000, 'Cydia/APT(A): LowPowerBanner (1.4.5)'>, 


<MFLibraryMessage 0x1572ef10: library id 604, remote id 12718, 2014-10-01 21:34:28 +0000, 'Asian Morning: Told to End Protests, Organizers in Hong Kong Vow to Expand Them'> 


<MFLibraryMessage 0x168bd170: library id 906, remote id 13142, 2014-12-17 22:34:30 +0000, 'Asian Morning: Obama Announces U.S. and Cuba Will Resume Relations'>, 


) 

( p (int) [[[$r2 object] copyAllMessages] count] 

(int) $7 = 580 

(lldb) р (int) [[$r2 object] localMessageCount] 

(int) $8 = 580 

(1140) p (int) [[$r2 object] messageCount] 

(int) $0 = 555 

(lldb) po [[[$r2 object] copyAllMessages] class] 
NSSetM 


copyAllMessages 返 回 了 一 个 NSSet， 其 中 含有 580 个 MFLibraryMessage 对 象 ，MFLibraryMessage 对 象 中 含有 邮件 摘要 信息 ， 且 NSSet 中 对 象 的 个 数 与 localMessageCount 的 值 相同 。 这 个 结果 很 


好 理解 : 为 了 节省 带宽 流量 和 本 地 空间 ，iOS 没 有 必要 一 次 性 下 载 邮 件 服务 器 上 的 所 有 邮件 ， 因 此 会 先 存储 个 百 十 来 封 ， 用 户 如 果 要 看 更 多 的 邮件 ， 再 去 服务 器 获取 ( 即 loadOlderMessages) . 


此 ，copyAlIMessages 就 是 拿 到 所 有 邮件 的 方法 ， 第 二 目标 达成 ! 同时 ， 留 意 [MessageMegaMall markMessagesAsViewed:] 函 数 ， 如 果 不 出 意外 ， 它 就 是 把 邮件 标记 为 已 读 的 方法 ， 而 参数 则 很 有 可 能 


是 一 个 含有 MFLibraryMessage 对 象 的 NSArray 或 NSSet。 到 底 是 不 是 这 样 呢 ? 我 们 马上 就 会 验证 。 
8.27 ”从 MFLibraryMessage 中 提取 发 件 人 地 址 ， 用 MessageMegaMall 标 记 已 读 


从 8.2.4 节 的 分 析 可 知 ， 一 封 邮件 就 是 一 个 MFLibraryMessage 对 象 ， 它 的 description 里 显示 的 正 是 邮件 摘要 。 不 过 ， 在 MobileMail 的 头 文件 中 是 找 不 到 它 的 身影 的 ， 想 必 你 也 能 猜 到 大 致 原因 一 一 
MFLibraryMessage 来 自 一 个 外 部 dylib。 在 iOS 8 的 所 有 class-dump 头 文件 里 搜索 MFLibraryMessage， 发 现 它 来 自 Messages 私 有 库 ， 如 图 8-16 所 示 。 


看 看 MFLibraryMessage.h 的 内 容 ， 如 下 : 


@interface MFLibraryMessage : MFMailMessage 
==; (id)copyMessageInfo; 


= (void) markAsNotViewed; 
= (void)markAsViewed; 
- (id)account; 


- (unsigned long long)uniqueRemoteId; 

(unsigned long)uid; 

(unsigned int)hash; 

(id) remoteID; 

(void) updateUID; 

- (unsigned int)messageSize; 
(id)originalMailboxURL; 
(unsigned int)originalMailboxID; 
(unsigned int)mailboxID; 
(unsigned int)libraryID; 
(id)persistentID; 

- (id)messageID; 

Gend 


d = [Ж ОЕ Q. NAMEv MFLibraryMessage 


Searching "8.1" 


Search: This Mac gw 


Kind 


н} MFLibraryMessage-Queue.h C Hea...rce File 
fi MFLibraryMessage.h C Hea...rce File 


Date Last Opened 


Nov 28, 2014, 11:39 AM 
Dec 15, 2014, 9:27 AM 


@ snakeninny > В8 Code » [g iOSPrivateHeaders » Ёш 8.1 * 天 PrivateFrameworks > [g Message > № MFLibraryMessage.h 


MFLibraryMessage.h 里 充斥 着 各 种 ID， 但 没有 我 们 要 找 的 发 件 人 : 
MFLibraryMessage.h 里 找到 读 取 摘要 信息 的 方法 ， 说 明 分 析 过 程 有 遗 


Те: 


图 8-16 x 4 MFLibraryMessage 


地 址 等 信息 。 这 个 结果 不 正常 : 我 们 已 经 在 MFLibraryMessage 的 description 里 看 到 了 邮件 摘要 信息 ， 却 没有 在 
局 。 重 新 审视 MFLibraryMessage.h， 这 时 ，copyMessagelnfo 进 入 了 我 们 的 视线 ， 看 看 它 返 回 的 “邮件 信息 ”里 会 有 什么 数据 ， 如 


Process 73130 stopped 
* thread #1: tid = Oxlldaa, 0x000efe48 MobileMail` lldb unnamed function993$$ MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 

frame #0: 0x000efe48 MobileMail' ^ lldb unnamed function993$$MobileMail 
MobileMail' 1186 unnamed function993$$MobileMail: 


-> Oxefe48: 
Oxefe4a: 
Oxefe4c: 
Oxefe50: 


push 
add 


push. 


(r4, r5, r6, r7, lr) 
r7, sp, #12 
м (r8, r10, r11) 


sub.w r4, sp, 424 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject] copyMessageInfo 
<MFMessageInfo: 0х157с8040> uid=89, conversation=594030790676622907 


从 中 拿 到 了 一 个 8.2.5 节 出 现 过 的 MFMessagelnfo 对 象 ， 马 上 去 看 看 MFMessagelnfo.h 里 有 没有 邮件 摘要 信息 ， 如 下 : 


@interface MFMessageInfo : NSObject 


{ 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
unsigned 


} 


int 


flagged:1; 


int 


read:1; 


int 


deleted:1; 


int 


uidIsLibraryID:1; 


int “hasAttachments:1; 


int 


isVIP:1; 


int 


uid; 


int 


dateReceivedInterval; 


int “dateSentInterval; 


int 


mailboxID; 


long long _conversationHash; 
long long generationNumber; 


* (long long)newGenerationNumber; 

Gproperty(readonly, nonatomic) long long generationNumber; // @synthesize generationNumber- generationNumber; 
@property(nonatomic) unsigned int mailboxID; // (synthesize mailboxID- mailboxID; 

@property(nonatomic) long long conversationHash; // @synthesize conversationHash- _conversationHash; 

Gproperty (nonatomic) unsigned int dateSentInterval; // @synthesize dateSentInterval- dateSentInterval; 
@property(nonatomic) unsigned int dateReceivedInterval; // (synthesize dateReceivedInterval-  dateReceivedInterval; 
@property(nonatomic) unsigned int uid; // @synthesize uid- uid; 


- (id)description; 

unsigned int)hash; 

BOOL) isEqual: (id)argl; 

int)generationCompare: (id)argl; 

id)initWithUid: (unsigned int)argl mailboxID: (unsigned int)arg2 dateReceivedInterval: (unsigned int)arg3 dateSentInterval 


at 
Fait 
E 
> i 


= (id)init; 


@property(nonatomic) BOOL isVIP; 

Gproperty (nonatomic, getter=isKnownToHaveAttachments) BOOL knownToHave Attachments; 
@property(nonatomic) BOOL uidIsLibraryID; 

Gproperty (nonatomic) BOOL deleted; 

Gproperty (nonatomic) BOOL flagged; 

Gproperty (nonatomic) BOOL read; 


Gend 


: (unsigned int)arg4 conversationHash: (long long)arg5 r 


MFMessagelnfo 中 含有 已 读 信息 ， 但 不 含有 邮件 摘要 信息 ， 说 明 分 析 仍 不 够 严密 。 再 回 过 头 仔细 观察 MFLibraryMessage.h， 发 现 它 继承 自 MFMailMessage， 从 名 字 上 看 ，MailMessage 用 来 代表 邮 
件 显然 比 LibraryMessage 更 贴切 。 打 开 MFMailMessage.h， 看 看 它 的 内 容 ， 如 下 : 


@interface MFMailMessage : MEMessage 


- (id) subject; 


@end 


(BOOL) shouldSetSummary; 
- (void) setSummary: (id) argl; 
(void) setSubject: (id) argl to: (id)arg2 сс: (id)arg3 bcc: (id)arg4 sender: (іа) arg5 dateReceived: (double) arg6 dateSent: (double) arg7 messageIDHash: (long long)arg8 conversationIDHas 


summary, subject, sender, cc, bccS hha 


词汇 出 现在 我 们 面前 ， 但 除了 subject，MFMailMessage.h 中 只 出 现 了 setter， 而 不 见 getter。 还 记得 刚才 我 们 的 注意 力 是 怎么 从 


MFLibraryMessage.h 转 移 到 MFMailMessage.h 上 的 吗 ? 想必 你 一 定 也 注意 到 了 MFMailMessage 的 父 类 MFMessage。 在 查看 它 的 头 文件 前 ， 先 F 
到 目前 为 止 的 分 析 ， 如 下 : 


LLDB 看 看 [MFMailMessage subject] 的 返回 ， 验 证 一 下 


Process 73130 stopped 
* thread #1: tid = Oxlldaa, 0x000efe48 MobileMail' 1186 unnamed function993$$MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: 0x000efe48 MobileMail` lldb unnamed function993$$MobileMail 


MobileMail" 
-> Oxefe48: 
Oxefe4a: 
Oxefe4c: 


push 
add 


push. 


lldb unnamed function993$$MobileMail: 


Ira, rb, r6, r7, lr] 
r7, sp, #12 
м (r8, r10, г11} 


Oxefe50: sub.w r4, sp, #24 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject] subject] 
Asian Morning: Told to End Protests, Organizers in Hong Kong Vow to Expand Them 


可 以 看 到 ，[MFMailMessage subject] 返 回 的 正 是 邮件 的 标题 。 打 开 MFMessage.h (注意 ，MFMessage 是 MIME.framework 里 的 类 ) ， 看 看 它 的 内 容 ， 如 下 : 


@interface MFMessage : NSObject <NSCopying> 
(id) headerData; 
(id)bodyData; 

(id) summary; 
(id)bccIfCached; 
(id)bcc; 
(id)ccIfCached; 
(id)cc; 
(id)toIfCached; 

(id) to; 

(id) firstSender; 

(id) sendersIfCached; 
(id) senders; 

(id) dateSent; 

(id) subject; 

(1а) messageData; 

(id) messageBody; 

(id) headers; 


人 


@end 


其 中 ， 邮 件 的 收 件 人 、 发 件 人 、 标 题 、 内 容 等 信息 一 应 俱全 。 用 LLDB 简 单 看 看 它们 的 返 


回 


值 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 MobileMail` lldb unnamed function993$$MobileMail, queue = 'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: Ox000efe48 MobileMail' _1ldb unnamed function993$$MobileMail 
MobileMail'  1lldb unnamed function993$$MobileMail: 
-> Oxefe48: push [r4, rb, r6, ЕТ Lr] 
Oxefe4a: add ri, sp, #12 
Oxefe4c: push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 


(lldb) po [Sr2 object] copyAllMessages] anyObject] firstSender] 
NYTimes.com <nytdirect@nytimes.com> 
(1140) po $r2 object] copyAllMessages] anyObject] sendersIfCached] 


< NSArrayl 0х16850850> ( 
NYTimes.com <nytdirect@nytimes.com> 
) 
(1140) po $r2 object] copyAllMessages] anyObject] senders] 
< NSArrayl 0х16850850> ( 
NYTimes.com <nytdirect@nytimes.com> 
) 
(1140) po $r2 object] copyAllMessages] anyObject] to] 
< NSArrayI 0x16850840>( 
snakeninny@gmail.com 

) 
(114) po $r2 object] copyAllMessages] anyObject] dateSent] 
2014-10-01 21:30:32 +0000 
(lldb) po $r2 object] copyAllMessages] anyObject] subject] 

Asian Morning: Told to End Protests, Organizers in Hong Kong Vow to Expand Them 
(11а) po $r2 object] copyAllMessages] anyObject] messageBody] 

«MFMimeBody: 0x16852fc0» 


打印 的 信息 含义 都 很 明显 ， 想 必 不 用 解释 了 。 其 中 ，firstSender 返 回 了 一 个 发 件 人 ， 而 sendersIfCached 和 senders 都 返回 了 一 个 NSArray， 说 明 默 认 情况 下 ， 在 iOs 中 一 封 邮 件 是 有 可 能 存在 多 个 发 件 
人 的 。 尽 管 多 个 发 件 人 的 情况 在 现实 生活 中 不 常见 (笔者 没 见 过 ) ， 但 为 了 避免 遗漏 ， 这 里 仍 采 用 senders 函 数 来 提取 一 封 邮 件 中 所 有 可 能 的 发 件 人 地 址 。 最 后 的 任务 就 是 把 邮件 标记 为 已 读 一 一 还 记得 
8.2.5 节 末尾 出 现 的 [MessageMegaMall markMessagesAsViewed:] 吗 ? 它 是 不 是 把 邮件 标 为 已 读 的 方法 呢 ? 在 这 个 方法 上 下 一 个 断 点 ， 看 看 在 把 一 封 邮 件 标记 为 已 读 时 ， 它 会 不 会 得 到 调用 。 


先 在 IDA 里 定位 到 [MessageMegaMall markMessagesAsViewed:]， 看 看 它 的 基地 址 ， 如 图 8-17 所 示 。 


48 ; MessageMegaMa (void)markMessagesAsViewed:( 
text:0013B648 Attributes: bp-based frame 
text:0013B648 
text:0013B648 void _ cdecl -[MessageMegaMall markMessagesAsViewed 
text:0013B648 _ MessageMegaMall markMessagesAsViewed _ ; DATA XREF: 
text:0013B648 


text:0013B648 var 10 = -0х10 

text:0013B648 

text:0013B648 {R4-R7,LR} 

text :0013B64A R7, SP, #0xC 

text :0013B64C R8, [SP,fOxC*var 10]! 


图 8-17 [MessageMegaMall markMessagesAsViewed:] 


它 的 基地 址 是 0x13b648。 因 为 已 知 MobileMail 的 ASLR 偏 移 是 0xb2000， 所 以 可 以 直接 下 断 点 ， 如 下 : 


(118) br s -a '0х000Ь2000+0х0013В648' 
Breakpoint 4: where = Морі1еМаі1`  1lldb unnamed function7357$$MobileMail, address = 0x001ed648 
Process 103910 stopped 
* thread #1: tid = 0x195e6, 0x001ed648 MobileMail'  1lldb unnamed function7357$$MobileMail, queue = 'com.apple.main-thread, stop reason = breakpoint 4.1 
frame #0: 0х0014#648 MobileMail` lldb unnamed function7357$$MobileMail 
MobileMail'  1lldb unnamed function7357$$MobileMail: 
-> Oxled648: push {r4, r5, r6, r7; lr) 
Oxled64a: add кт, sp, #12 
Oxled64c: str r8, [sp, #-4]! 
Oxled650: mov r8, го 
(lldb) po $r2 
{( 
<MFLibraryMessage 0x157b70b0: library id 906, remote id 13142, 2014-12-17 22:34:30 +0000, 'Asian Morning: Obama Announces U.S. and Cuba Will Resume Relations'> 


)} 
(1140) po [Sr2 class] 
. NSSetl 


LLDB 的 输出 验证 了 之 前 的 猜测 ，[MessageMegaMall markMessagesAsViewed:] 就 是 把 邮件 标 为 已 读 的 方法 ， 且 其 参数 是 一 个 由 MFLibraryMessage 对 象 组 成 的 NSSet。 至 此 ， 我 们 成 功 地 在 界面 上 
添加 了 白 名 单 按钮 ， 捕 获 到 了 “刷新 完成 ”事件 ， 拿 到 了 所 有 邮件 ， 提 取 了 其 中 的 发 件 人 地 址 ， 并 能 将 它们 标 为 已 读 。tweak 原 型 搭建 完毕 ， 在 写 代码 前 ， 先 整理 一 下 逆向 结果 。 


8.3 ”逆向 结果 整理 


本 章 的 实例 模块 划分 明显 ， 任 务 分 工 明确 ， 搭 建 tweak 原 型 时 的 思路 非常 清晰 ， 具 体 如 下 。 


1. 在 界面 上 寻找 添加 白 名 单 按钮 的 地 方 和 方法 


本 着 既 要 直观 又 要 美观 的 原则 ， 我 们 在 简单 尝试 了 几 种 方案 之 后 ， 决 定 把 白 名 单 按钮 添加 在 Mailboxes 界 面 的 左上 角 。 通 过 Cycript 拿 到 MailboxPickerController 的 套路 已 是 驾轻就熟 ， 在 导航 栏 添加 按 
钮 自然 是 水 到 渠 成 。 


2. 在 protocol 里 寻找 “刷新 完成 ”的 响应 函数 


同 第 7 章 “寻找 实时 监测 字数 变化 ”的 方法 一 脉 相 承 ， 本 章 以 MailboxContentView-Controller.h 中 的 protoco| 为 线索 ， 通 过 遍历 头 文件 ， 猜 测 关键 词 的 方法 ， 找 到 了 “刷新 完成 ”的 响应 函数 。 经 过 测 
试 ，megaMallMessageCountChanged: 会 在 邮件 数量 发 生变 化 时 得 到 调用 ， 符 合 条 件 。 


3. 从 MessageMegaMall 中 拿 到 所 有 邮件 


根据 “协议 方法 被 调用 ， 一 般 是 因为 方法 名 中 提 到 的 那个 事件 发 生 了 ; 而 那 件 事 发 生 的 对 象 ， 一 般 是 协议 方法 的 参数 ”的 经 验 ， 在 megaMallMessageCountChanged: 的 参数 中 发 现 了 
MessageMegaMall 这 个 类 。“ 大 型 购物 中 心 ” 的 名 字 很 隐 了 星 ， 通 过 对 它 的 调查 ， 发 现 它 就 是 一 个 保存 了 所 有 邮件 的 M。 调 用 [MessageMegaMall copyAlIMessages]， 可 以 拿 到 所 有 邮件 。 


4. 从 MFLibraryMessage 中 提取 发 件 人 地 址 


通过 [MessageMegaMall copyAllMessages] 拿 到 的 邮件 类 型 是 MFLibraryMessage。 通 览 MFLibraryMessage 及 相关 头 文 件 ， 用 LLDB 测 试 几 个 可 疑 的 property 和 函数 ， 很 容易 就 可 以 从 中 提取 发 件 人 
地 址 。 


5. 用 MessageMegaMall 将 邮件 标记 为 已 读 


在 调查 MessageMegaMall 时 ， 就 已 经 注意 到 了 可 疑 的 markMessagesAsViewed:， 几 乎 不 需要 测试 就 能 肯定 它 是 将 邮件 标记 为 已 读 的 函数 ， 当 然 ，LLDB 的 测试 结果 也 直接 证 明了 这 个 结论 的 正确 性 。 


注意 为 了 简化 示例 ，8.4 节 的 白 名单 仅 含有 一 个 邮箱 地 址 ， 以 UIAlertView 的 形式 展现 给 用 户 。 作 为 练习 ， 你 可 以 把 它 扩充 成 一 个 UITableView， 让 它 变 得 更 实用 。 


8.4 编写 tweak 


在 搭建 tweak 原 型 的 阶段 ， 所 有 的 难点 都 已 被 一 一 攻破 ， 正 式 编写 tweak 时 只 需要 简单 地 整理 一 下 8.3 节 的 结论 ， 就 可 以 得 出 的 漂亮 的 代码 了 。 


8.4.1 ”用 Theos 新 建 tweak 工 程 “iOSREMailMarker” 
新 建 iOSREMailMarker 工 程 的 命令 如 下 : 


hangcom-mba:Documents sam$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
.] iphone/notification center widget 
] iphone/preference bundle ~ 
] iphone/sbsettingstoggle 
] iphone/tool 
] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREMailMarker 
Package Name [com.yourcompany.iosremailmarker]: com.iosre.mailmarker 
Author/Maintainer Name [sam]: sam 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.mobilemail 


(o 0 -lo UU N 


[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]: MobileMail 
Instantiating iphone/tweak in iosremailmarker/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 


84.2 构造 OSREMailMarker.h 


编辑 后 的 iOSREMailMarker.h 内 容 如 下 : 


@interface MailboxPickerController : UITableViewController 
@end 

@interface NSConcreteNotification : NSNotification 
@end 

@interface MessageMegaMall : NSObject 

- (void)markMessagesAsViewed: (NSSet *)argl; 

- (NSSet *)copyAllMessages; 

Gend 

Ginterface MFMessageInfo : NSObject 

Gproperty (nonatomic) BOOL read; 

Gend 


Ginterface MFLibraryMessage : NSObject 
- (NSArray *)senders; 

- (MFMessageInfo *)copyMessageInfo; 
Gend 


这 个 头 文件 的 所 有 内 容 均 摘自 类 对 应 的 头 文件 ， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 出 现任 何 报错 信息 和 警告 。 
84.3 编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "iOSREMailMarker.h" 


shook MailboxPickerController 
znew 
- (void) iOSREShowWhitelist 
{ 
UIAlertController *alertController = [UIAlertController alertControllerWithTitle:@"Whitelist" message:@"Please input an email address" preferredStyle:UIAlertControllerSty 
UlAlertAction *okAction = [UIAlertAction actionWithTitle:@"OK" style:UIAlert ActionStyleDefault handler:^(UIAlertAction * action) { 
UITextField *whitelistField = alertController.textFields.firstObject; 
if ([whitelistField.text length] != 0) [[NSUserDefaults standardUser Defaults] setObject:whitelistField.text forkey:@"whitelist"]; 
11; 
UIAlertAction *cancelAction = [UIAlertAction actionWithTitle:@"Cancel" style: UIAlertActionStyleCancel handler:nil]; 
[alertController addAction:okAction]; 
[alertController addAction:cancelAction]; 
[alertController addTextFieldWithConfigurationHandler:^(UITextField *textField) { 
textField.placeholder = @"snakeninny@gmail.com"; 
textField.text = [[NSUserDefaults standardUserDefaults] objectForKey: @"whitelist"]; 


11; 


[self presentViewController:alertController animated:YES completion:nil]; 


(void)viewWillAppear: (BOOL)argl 


self.navigationItem.leftBarButtonItem = [[[UIBarButtonItem alloc] initWith Title: @"Whitelist" style:UIBarButtonItemStylePlain target:self action:@selector (iOSREShowWhiteli 
sorig; 


end 
hook MailboxContentViewController 
(void) megaMal1MessageCountChanged: (NSConcreteNotification *)argl 


sorig; 
NSMutableSet *targetMessages = [NSMutableSet setWithCapacity: 600]; 
NSString *whitelist = [[NSUserDefaults standardUserDefaults] objectForKey: @"whitelist"]; 


MessageMegaMal *mall = [argl object]; 

NSSet *messages = [mall copyAllMessages]; // Remember to release it later 

for (MFLibraryMessage *message in messages) 

{ 
MFMessageInfo *messageInfo = [message copyMessageInfo]; // Remember to release it later 
for (NSString *sender in [message senders]) if (!messageInfo.read && [sender rangeOfString: [NSString stringWithFormat:@"<%@>", whitelist]].location == NSNotFound) [ 
[messageInfo release]; 

š 

[messages release]; 

[mall markMessagesAsViewed: targetMessages] ; 


de 


844 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE ТР = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME — iOSREMailMarker 
ioSREMailMarker FILES = Tweak.xm 
iOSREMailMarker FRAMEWORKS = UIKit 
include $ (THEOS MAKE PATH) /tweak.mk 
after-install:: 

install.exec "killall -9 MobileMail" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.mailmarker 

Name: iOSREMailMarker 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Mark non-whitelist emails as read! 
Maintainer: sam 

Author: sam 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


84.5 测试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 打 开 Mail， 因 为 还 没 配置 iOSREMailMarker， 所 以 Mail 跟 以 前 没什么 两 样 。 此 时 ， 收 件 箱 里 一 共有 44 封 未 读 邮 件 ， 如 


Ий] 


8-18 所 示 。 


进入 Mailboxes 界 面 ， 左 上 角 新 增 了 一 个 “Whitelist” 按 钮 。 点 击 它 ， 弹 出 一 个 白 名 单 编辑 对 话 框 ， 如 图 8-19 所 示 。 
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图 8-18 ”iOSREMailMarker 未 配置 时 的 Mail 


Whitelist 


Please input an email address 


图 8-19 ”和 白 名 单 编辑 对 话 框 
笔者 订阅 了 一 份 纽约 时 报 ， 每 天 都 会 花 上 15 分 钟 左右 了 解 当 日 时 事 。 把 纽约 时 报 的 订阅 邮箱 地 址 加 入 白 名 单 ， 如 图 8-20 所 示 。 


最 后 给 自己 发 一 封 邮件 ， 触 发 megaMallMessageCountChanged: 函 数 。 在 成 功 收 到 这 封 邮 件 后 ， 除 了 纽约 时 报 以 外 的 所 有 邮件 均 被 标记 为 已 读 ， 收 件 箱 里 只 剩 1 封 来 自 纽约 时 报 的 未 读 邮件 ， 如 图 8- 
21 所 示 。 
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图 8-20 ”把 纽约 时 报 的 订阅 邮箱 地 址 加 入 白 名 单 
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图 8-21 iOSREMailMarketr 将 纽约 时 报 以 外 的 邮件 标记 为 已 读 


85 小 结 


本 章 以 Mail 为 目标 ， 给 它 添加 了 白 名 单 以 外 的 邮件 均 自 动 标记 为 已 读 的 功能 ， 能 够 从 一 定 程度 上 突出 收 件 箱 中 的 重点 内 容 。iOSREMailMarker 的 过 滤 条件 略 显 简单 ， 将 邮件 直接 标记 为 已 读 的 方案 也 不 
一 定 适合 所 有 人 ， 希 望 读 者 能 够 在 阅读 过 程 中 举一反三 ， 模 仿 本 章 思 路 打造 属于 自己 的 独一无二 的 Mail 插 件 ， 然 后 来 http://bbs.iosre.com 分 享 你 的 成 果 。 经 过 两 章 实 战 ， 相 信 大 家 有 跟 笔者 一 样 的 体会 : 
在 iOSs 逆 向 工程 中 ， 需 要 工具 未 动 ， 思 想 先行 。 只 有 在 前 期 对 目标 的 分 析 过 程 中 下 足 工夫 ， 后 期 的 tweak 编 写 才 会 如 鱼 得 水 。 逆 向 工程 行业 的 前 辈 TiGa 曾 说 : “A reverser should know how/what is 
done before grabbing tools to complete the tasks automatically" ， 相 信 大 家 在 不 断 的 逆向 求索 中 也 会 逐渐 感悟 这 句 话 的 含义 。 


第 9 章 ”实战 3: 保存 与 分 享 微 信 小 视频 


91 微 信 


微 信 征 移动 互联 网 时 代 即 时 通讯 领域 的 佼佼 者 ， 在 国内 更 是 当之无愧 的 业界 老大 。 它 已 经 融入 到 我 们 大 多 数 人 的 生活 中 了 ， 想 必 不 用 再 多 费 口舌 去 介绍 它 。 微 信 的 启动 画面 如 图 9-1 所 示 ， 大 气 之 中 流露 
出 一 股 淡淡 的 忧伤 。 


2014 年 10 月 3 日 ， 微 信 更 新 了 6.0 版 ， 新 增 了 小 视频 功能 。 这 个 功能 很 好 玩 ， 各 种 各 样 的 小 视频 很 快 就 占领 了 朋友 圈 ， 如 图 9-2 所 示 。 


虽然 我 们 已 经 可 以 通过 长 按 小 视频 窗口 ， 在 弹出 的 菜单 里 点 击 “Favorite”， 把 感 兴趣 的 内 容 标记 下 来 (如 图 9-3 所 示 ) ， 但 笔者 还 不 太 满意 一 一 如 果 能 把 小 视频 保存 在 本 地 ， 不 管 联 不 联网 ， 有 没有 微 


信 ， 都 能 想 看 就 看 ， 那 就 好 了 ! 另外 ， 小 视频 是 从 微 信 的 服务 器 下 载 的 ， 如 果 能 拿 到 下 载 的 URL， 就 可 以 在 PC 中 下 载 ， 或 者 把 它 发 布 到 其 他 平台 ， 跟 非 微 信 好 友 分 享 那 就 更 好 了 。 既 然 如 此 ， 本 章 的 目标 就 
是 在 小 视频 播放 窗口 的 长 按 菜单 里 添加 “保存 到 本 地 ”和 “复制 URL” 两 个 选项 ， 然 后 完善 对 应 的 功能 。 


微 信 6.0 版 已 经 超过 80MB， 逆 向 工程 的 工作 量 不 小 ， 难 度 也 比 绝 大 多 数 App 要 大 。 按 照 惯例 ， 在 使 用 工具 开始 逆向 工程 之 前 ， 先 分 析 一 下 抽象 的 目标 ， 把 它 具 体 化 ， 然 后 制定 这 次 逆向 工程 的 思路 ， 再 
贯彻 思想 实地 执行 。 下 面 的 操作 是 在 iPhone 5, iOS 8.1、 微 信 6.0 中 完成 的 。 在 本 书 出 版 后 ， 微 信 很 可 能 也 升级 到 了 更 高 的 版 本 ， 下 面 的 操作 会 有 一 些 细节 上 的 变化 ， 但 总 体 思 路 是 不 变 的 ， 笔 者 会 及 时 把 
最 新 的 分 析 过 程 更 新 在 http://bbs.iosre.com 上 ， 请 大 家 关注 。 


sssr DR = 20:11 Ө 86% ШШ) 


89-1 微 信 启动 画面 
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93 微 信 


微 信 征 移动 互联 网 时 代 即 时 通讯 领域 的 佼佼 者 ， 在 国内 更 是 当之无愧 的 业界 老大 。 它 已 经 融入 到 我 们 大 多 数 人 的 生活 中 了 ， 想 必 不 用 再 多 费 口舌 去 介绍 它 。 微 信 的 启动 画面 如 图 9-1 所 示 ， 大 气 之 中 流露 
出 一 股 淡淡 的 忧伤 。 


2014 年 10 月 3 日 ， 微 信 更 新 了 6.0 版 ， 新 增 了 小 视频 功能 。 这 个 功能 很 好 玩 ， 各 种 各 样 的 小 视频 很 快 就 占领 了 朋友 圈 ， 如 图 9-2 所 示 。 


如 果 能 把 小 视频 保存 在 本 地 ， 不 管 联 不 联网 ， 有 没有 微 
， 跟 非 微 信 好 友 分 享 那 就 更 好 了 。 既然 如 此 ， 本 章 的 目标 就 


虽然 我 们 已 经 可 以 通过 长 按 小 视频 窗口 ， 在 弹出 的 菜单 里 点 击 “Favorite”， 把 感 兴趣 的 内 容 标记 下 来 (如 图 9-3 所 示 ) ， 但 笔者 还 不 太 满 意 
3 外， 小 视频 是 从 微 信 的 服务 器 下 载 的 ， 如 果 能 拿 到 下 载 的 URL， 就 可 以 在 PC 中 下 载 ， 或 者 把 它 发 布 到 其 他 平台 
里 添加 “保存 到 本 地 ”和 “复制 URL” 两 个 选项 ， 然 后 完善 对 应 的 功能 。 


言 ， 都 能 想 看 就 看 ， 那 就 好 了 ! 


а 


是 在 小 视频 播放 窗口 的 长 按 菜 


微 信 6.0 版 已 经 超过 80MB， 逆 向 工程 的 工作 量 不 小 ， 难 度 也 比 绝 大 多 数 App 要 大 。 按 照 惯例 ， 在 使 
面 的 操作 是 在 iPhone 5. iOS 8.1、 微 信 6.0 中 完成 的 。 在 本 书 出 版 后 ， 微 信 很 可 能 也 升级 到 了 更 高 的 版 本 ， 下 面 的 操作 会 有 一 些 细节 上 的 变化 ,但 总 体 思 路 是 不 变 的 ， 


工具 开始 逆向 工程 之 前 ， 先 分 析 一 下 抽象 的 目标 ， 把 它 具体 化 ， 然 后 制定 这 次 逆向 工程 的 思路 ， 再 
者 会 及 时 把 


贯彻 思想 实地 执行 。 下 
最 新 的 分 析 过 程 更 新 在 http://bbs.iosre.com 上 ， 请 大 家 关注 。 
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92 搭建 tweak 原 型 


9.2.1 ”观察 小 视频 播放 窗口 ， 寻 找 逆向 切入 点 


首先 在 “ 微 信 ”" — "Me" > "Settings" > "General" — "Sights in Moments” 中 ， 将 小 视频 的 自动 播放 选项 调整 到 “Never”， 如 图 9-4 所 示 。 


< General Sights in Moments 


Autoplay Sights in Moments 
3G / 4G and Wi-Fi 
Wi-Fi only 


Never v 


图 9-4 调整 自动 播放 选项 


再 看 一 下 图 9-3 所 示 的 界面 ， 长 按 小 视频 播放 窗口 ， 会 弹出 “Favorite” 和 “Report Abuse” 两 个 选项 。 这 个 现象 说 明 播 放 窗口 已 经 可 以 响应 长 按 手势 ， 现 在 只 要 找到 长 按 手势 对 应 的 函数 ， 钩 住 
(hook) 它 ， 就 可 以 添加 含有 “保存 到 本 地 ”和 “复制 URL” 两 个 选项 的 自 定义 菜单 了 。 


小 视频 播放 窗口 的 播放 按钮 下 有 一 行 字 ，“Tap to download" ， 也 就 是 说 微 信 会 先 下 载 小 视频 到 iOs 中 ， 再 离线 播放 。 这 一 现象 说 明 小 视频 模块 里 本 来 就 含有 一 个 下 载 URL， 和 一 个 下 载 好 的 视频 文 
件 ， 要 达到 目标 ， 只 需 通 过 逆向 工程 找到 这 个 URL 和 视频 文件 就 行 了 。 经 过 前 几 章 的 洗礼 ， 相 信 读 者 对 MVC 的 理解 一 定 比 开 发 App 更 深入 了 ， 如 果 能 够 拿 到 小 视频 的 V， 那 么 含有 URL 和 视频 对 象 的 M 就 近 
RRT. 


好 了 ， 本 章 的 目标 功能 已 经 被 微 信 实 现 ， 只 需要 找到 它们 在 微 信 中 的 位 置 ， 拿 来 为 我 们 所 用 就 好 了 ， 没 有 必要 重新 发 明 轮 子 。 为 了 追求 性 价 比 ， 用 尽 可 能 少 的 逆向 工程 达到 目的 ， 我 们 不 会 过 分 严格 地 
推导 微 信 的 逻辑 ， 而 是 尽 可 能 地 在 通过 class-dump 导 出 的 头 文件 中 寻找 关键 字 ， 然 后 用 其 他 工具 配合 验证 猜测 ， 最 终 达 到 提取 小 视频 信息 的 目的 。 


9.22 class-dump 获 取 头 文件 


首先 用 dumpdecrypted 给 微 信 磺 壳 ， 过 程 比较 简单 ， 这 里 就 不 细致 描述 了 。 值 得 一 提 的 是 ， 微 信 的 可 执行 文件 名 既 不 叫 “WeiXin”， 也 不 叫 “WeChat”， 而 是 叫 “MicroMessenger”。 拿 到 脱 壳 后 
的 可 执行 文件 时 ， 先 把 它 丢 到 IDA 里 开始 分 析 ， 然 后 用 class-dump 导 出 它 的 头 文件 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ class-dump -S -s -H ~/MicroMessenger -o -/header6.0 


执行 上 述 命令 ， 发 现 一 共生 成 了 5225 个 头 文件 ， 如 图 9-5 所 示 。 


微 信 算 是 笔者 见 过 的 头 文件 数目 最 多 的 App 了 ，5000+ 的 数目 如 果真 要 让 咱们 一 个 个 过 ， 那 得 看 到 猴 年 马 月 去 。 即 使 是 正 向 开发 ， 这 种 级 别 的 工程 量 也 不 大 可 能 由 一 个 团队 单独 完成 一 一 估计 腾讯 内 部 
是 把 微 信 拆 分 成 了 若干 模块 ， 比 如 朋友 圈 是 一 个 模块 ，IM 是 一 个 模块 ， 漂 流 瓶 是 一 个 模块 ， 小 视频 是 一 个 模块 ， 然 后 分 别 组 建 团队 编写 各 自负 责 的 模块 ， 最 后 整合 成 了 一 个 大 工程 ， 通 过 这 样 的 分 工 协作 最 
终 实 现 了 微 信 这 样 一 个 App。 
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923 ”把 头 文件 导入 Xcode 


把 微 信 的 头 文件 导入 一 个 空 的 Xcode 工程 中 ， 如 图 9-6 所 示 。 


eoe > ш A weixin ) Wi iPhone 6 


WCConten...NewSight.h SightPlayerView.h 
а= ало ot 


h Mainwincow.n 
h. MallProductitem.h 


n MCssParserDelegate-Protocol.h 
1 MediaNoteOpLog.h 

1 MEmail.h 

| MemAppidSig.h 

| MemAppidSigManager.h 

| MemberDataDelegate-Protocol.h 
À MemberDataLogic.h 

| MemberDataLogicProtocol-Protocol.h 
1 MemberListViewController.h 

i MemberReq.h 

1 MemberResp.h 

1 MemberStatus.h 

1 MemSig.h 

1 MemSigManager.h 

1 MemUserAppidSig.h 

1 MentionMsg.h 


A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 
A 


BB 


Q9 " Q» w^ do Ww Ne 


weixin: Ready | Today at 20:41 


WCMedialtem.h WCSightView.h | MicroMess...Delegate.h 


< > | B weixin > Ml weixin › B header.6.0 › 月 MicroMessengerAppDelegate.h 


// 
// Generated by class-dump 3.4 (64 bit) (Debug version compiled 09 
/f 
ГГА class-dump is Copyright (C) 1997-1998, 2000-2001, 2004-2012 by 
// 


#import "MMUIResponder.h" 


#import "ResourceMonitorDelegate.h" 
#import "UIAlertViewDelegate.h" 
#import "UIApplicationDelegate.h" 


@с1а55 CAppObserverCenter, CAppViewControllerManager, CMainControll, 
ResourceMonitor, UILabel, UIWindow; 


Ginterface MicroMessengerAppDelegate : MMUIResponder «UIApplicationDe 
1 


CAppObserverCenter *m_appObserverCenter; 

CMainControll *m mainController; 

MMServiceCenter xm serviceCenter; 

CAppViewControllerManager «m appViewControllerMgr; 

NSString *m_nsToken; 

NSString +m_nsSound; 

NSString »m nsVoipSound; 

unsigned long m uLastTimeResignActive; 

long m tTotalRunningTime; 

long m tLastActiveTime; 

int m appVerCompareWithLastRun; 

BOOL m isActive; 

UILabel «m changeValueLabel; 

UlLabel xm resourceLabel; 

MMUIWindow *m_resourceWindow; 

ResourceInfo *m lastResourceInfo; 

ResourceMonitor xm resourceMonitor; 

NSRecursiveLock *mActiveLock; 

BOOL mInBackground; 

CDUnknownBlockType m_fetchCompletionHandler; 
А UIWindow »* window; 


Gproperty(retain, nonatomic) NSRecursiveLock »mActivelock; // Gsynthes 


9-6 把 头 文件 导入 Xcode 


Xcode 自 带 的 查找 功能 和 代码 高 亮 显示 能 够 较为 美观 整洁 地 展示 大 量 头 文件 。 接 下 来 ， 我 们 开始 寻找 线索 ， 从 App 切 入 代码 。 


9.24 用 Reveal 找 到 小 视频 播放 窗口 


配置 Reveal 查 看 微 信 的 方法 也 很 简单 ， 此 处 不 再 袭 述 。 启 动 微 信 并 进入 朋友 圈 ， 找 一 个 小 视频 ， 用 Reveal 看 看 当前 的 UI 布局 ， 如 图 9-7 所 示 。 


F1 MMUILabe! 
FW MMUiLabel 
> em UlButton: Comment 
v & MMTableViewCell 
v: :UlTableViewCellContentView 
[2] UlimageView 
v: ‘WCTimeLineCellView 
v' :MMHeadimageView: IOSRE 
[2] MMUILongPressimageView 
em UlButton 
EÑ uriLabel 


r 


vi :WCContentitemViewTemplateNe' 


v: 'WCSightView 
E) UllmageView 


г Мем 
' UlView 
г | SighticonView 
FN MMUILabe! 


< Discover Moments 


iOSRE 
LLBean shirt with nice fabrics 


IOSRE 


Guess what this is? SpongeBob 
baby powder $$ 


图 9-7 用 Reveal 查 看 微 信 UI 布 局 


在 图 9-7 中 一 眼 就 能 看 到 左 侧 的 树 形 结构 图 中 出 现 了 “LLBean shirt with nice fabric” 的 字眼 ， 与 UI 中 显示 的 文字 吻合 。 继 续 查 看 这 个 RichTextView 附 近 的 view， 很 容易 就 可 以 定位 小 视频 播放 窗口 ， 


如 图 9-8 所 示 。 


EY MMUILabe! 
Е MMUILabe! 
> ат UiButton: Comment 
v = MMTableViewCell 
v: :UlTableViewCellContentView 
E UllmageView 
v: | WCTImeLineCellView 
v: :MMHeadimageView: IOSRE 
1 MMUILongPressimageView 
sm UIButton 
由 UriLabe! 
EN RichTextView: LLBean shirt with | 


г 1 WCSightView 
1 UllmageView 


v: IUIView 
г :UIView 
' SighticonView 
F1 MMUILabel 


图 9-8 ”找到 小 视频 播放 窗口 


《Discover Moments 


iOSRE 
LLBean shirt with nice fabric S 


iOSRE 
Guess what this is? SpongeBob 
baby powder&z 


小 视频 的 播放 窗口 是 一 个 WCContentltemViewTemplateNewSight 对 象 。 还 记得 前 面 在 recursiveDescription 部 分 讲 过 的 缩 进 原则 吗 ? 依照 “ 缩 进 多 的 view 是 缩 进 少 的 view 的 subview” 的 原则 ， 可 
分 析出 WCContentltemViewTemplateNewSight 的 subview 有 WCSightView 等 ， 而 WCSightView 的 subview 则 有 UllmageView 和 SightPlayerView 等 。 因 为 微 信 小 视频 的 英文 名 就 叫 “sight”， 所 以 这 


几 个 类 是 重点 关注 对 象 。 


9.2.5 “找到 长 按 手势 响应 函数 


要 在 iOS 中 添加 长 按 手势 ， 一 般 是 通过 addGestureRecognizer 方 法 来 实现 的 ， 既 然 长 按 小 视频 播放 窗口 会 弹出 菜单 ， 那 么 长 按 手 势 很 有 可 能 是 直接 添加 在 小 视频 播放 窗口 上 的 。 这 个 播放 窗口 是 一 个 
WCContentltemViewTemplateNewSight 对 象 ， 看 看 它 的 头 文件 里 有 些 什 么 ， 如 下 : 


@interface WCContentItemViewTemplateNewSight : 


(void) onMore: (id) argl; 

(void) onFavoriteAdd: (id) argl; 

(void) onLongTouch; 

(void) onShowSightAction; 

(void) onLongPressedWCSightFullScreenWindow 
(void) onLongPressedWCSight: (id) argl; 

(void) onClickWCSight: (id) argl; 


lend 


: (id) arg1; 


WCContentItemBaseView <WCAction Sheet Delegate, SessionSelectControllerDelegate, WCSightView Delegate» 


在 上 面 的 代码 中 ， 那 几 个 含有 “LongTouch”、 
什么 ， 先 看 看 onLongTouch， 如 图 9-9 所 示 。 


“LongPressed” 


字眼 的 函数 很 可 能 就 是 我 们 寻找 的 长 按 手 势 响应 函数 。1DA 对 微 信 的 初始 分 析 应 该 已 经 结束 了 ， 在 IDA 里 旱 一 眼 这 几 个 函数 都 做 了 些 


图 9-9 onLongTouch 


这 个 函数 的 流程 非常 简单 ， 从 上 往 下 浏览 ， 很 容易 就 可 以 看 到 “UIMenuController” 的 字眼 ， 如 图 9-10 所 示 。 


j__objc_msgSend 

RO, #(selRef_becomeFirstResponder - Ox4BEBEE) 

RO, PC ; selRef becomeFirstResponder 

R1, [RO] ; "becomeFirstResponder" 

RO, R6 

j  objc msgSend 

RO, #(selRef_sharedMenuController ~ Ox4BECOB8) 
#(classRef_UIMenuController - Ox4BECOA) ; 


PC ; selRef sharedMenuController 
PC ; classRef UIMenuController 
[А0] ; "sharedMenuController" 
[R2] ; OBJC CLASS $ UlMenuController 
ј  objc msgSend 
RO, [SP,ftOx38*var 24] 
Rl, #(selRef setTargetRect inView - Ox4BEC20) 


图 9-10 onLongTouch (1) 


也 可 以 看 到 “Favorite” 的 字眼 ， 如 图 9-11 所 示 。 


R2, РС ; "Favorites Add" 

R11, [R1] ; "getStringForCurLanguage:defaultTo:" 
R3, 

R1, R11 

j__objc_msgSend 

R2 


Ру initWithTitle action - Ox4BECF6) ; 
&(selRef onFavoriteAdd ~ Ox4BECF8) ; selRef 
PC ; selRef initWithTitle . action 
PC ; selRef onFavoriteAdd 
[RO] ; "initWithTitle:action:" 
R4 
[R1] "onFavoriteAdd:" 
R5 
j__objc_msgSend 


图 9-11 onLongTouch (2) 


除非 这 些 字眼 都 是 微 信 有 意 拿 来 迷惑 我 们 的 ， 否 则 这 个 [WCContentltemViewTemplate-NewSight onLongTouch] 十 有 八 九 就 是 要 找 的 长 按 手势 响应 函数 。 先 不 着 急 下 结论 ， 把 带 
有 “LongPressed” 关 键 字 的 函数 也 浏览 一 遍 ， 如 图 9-12 所 示 。 


strrchr 
1, $(:lowerl6:(selRef logWithLevel module file line func format - 0х21Е4С0 

R6, #0хА7 

*(:upperl6:(selRef logWithLevel module file line func format = 0х21Е4С0 

$(:1owerl6:(cfstr Onlongpresse 7 - Ox21E4C6)) ; "onLongPressedWCSightFul 

PC ; selRef logWithLevel module file line func format _ 

*(:upperi6:(cfstr Onlongpresse 7 - 0х21Е4С6)) ; "onLongPressedWCSightFul 

PC ; "onLongPressedWCSightFullScreenWindow" 

#0x86 

[R1] ; “logWithLevel:module: file:line:func: form"... 

#1 


{80,86} 
R5 


[SP,fOxlC*var 14] 
#0 


[SP,#0x1C+var 10] 
#1 

j__objc_msgSsend 

RO, #(selRef_onShowSightAction - 0x21E4E8) ; selRef_onShowSightAction 
PC ; selRef_onShowSightAction 
[RO] ; "onShowSightAction" 
R4 
SP, #0х10 

{R4-R7,LR} 

j_j__objc_msgSend_0 

End of function -[WCContentItemViewTemplateNewSight onLongPressedWCSightFullScreenWindow:] 


图 9-12 onLongPressedWCSightFullScreenWindow: 


看 上 去 是 记录 了 一 些 信息 ， 然 后 调用 了 onShowSightAction。 接 下 来 看 看 onShowSight-Action 都 做 了 些 什么 ， 如 图 9-13 所 示 。 


从 图 9-13 可 以 看 到 ， 这 个 函数 的 一 开始 就 创建 了 一 个 WCActionSheet 对 象 ， 既 然 名 字 是 ActionSheet， 它 的 表现 形式 可 能 与 UIActionSheet 差 不 多 ， 而 我 们 在 长 按 小 视频 播放 窗口 根本 没 看 到 与 
UIActionSheet 类 似 的 效果 出 现 ， 因 此 可 以 判断 onLongPressedWCSightFull-ScreenWindow: 可 能 不 是 我 们 要 找 的 函数 。 


接着 看 最 后 一 个 函数 ，onLongPressedWCSight:， 如 图 9-14 所 示 。 


从 图 9-14 可 以 看 到 ， 它 记录 了 一 些 信息 ， 然 后 调用 了 onLongTouch， 这 从 侧面 印证 了 我 们 的 猜测 。 接 下 来 ， 请 出 LLDB， 测 测 onLongPressedWCsightFullscreenWindow: 和 onLongTouch 的 调用 情 
况 。 先 用 debugserver 附 加 MicroMessenger， 如 下 : 


; WCContentItemViewTemplateNewSight - (void)onShowSightAction 
; Attributes: bp-based frame 


; void _ cdecl -[WCContentItemViewTemplateNewSight onShowSightAction] 
. WCContentItemViewTemplateNewSight onShowSightAction 


var 38-2 -0x38 
var 34-2 -0x34 
var 30-7 -0x30 
var 2C= -0x2C 
var 28-7 -0x28 
-0x24 
-0x20 
-0х1С 


{R4-R7,LR} 

R7, SP, #0xC 

(R8,R10,R11) 
SP, #0x20 
RO 
[SP,f0x38*var 1C] 
#(selRef_alloc - 0x21E516) ; selRef alloc 
#(classRef_WCActionSheet - 0х21Е518) ; classRef | 
PC ; selRef alloc 
PC ; classRef WCActionSheet 
[RO] ; "alloc" 
[R2] ; OBJC CLASS $ WCActionSheet 

j. objc msgSend 

R1, $(:lowerl6:(selRef initWithTitle delegate cancelE 
#0 
#(:upperl6:(selRef_initWithTitle delegate cancelE 
[SP,f$0x38*var 38] 
PC ; selRef initWithTitle delegate cancelButtonTi 
[SP,f0x38*var 34] 
SP, #0x38+var 30 


图 9-13 onShowSightAction 


#(:lowerl6:(selRef_logWithLevel_module file line func fo 
R6, #0х6С 
$(:upperl6:(selRef logWithLevel module file line func fo 
$(:lowerl6:(cfstr Onlongpressedw - 0x21E456)) ; "onLongP 
PC ; selRef logWithLevel module file line func format 
f(:upperló6:(cfstr _ Onlongpressedw - 0x21E456)) ; "onLongP 
PC ; "onLongPressedWCSight" 

#0x7F 

[R1] ; "“logWithLevel:module: file: line: func:form"... 

#1 

(RO,R6) 

R5 


(SP, #0x1C+var_14] 
#0 
(SP, #0x1C+var_10] 
#1 
j__objc_msgSend 
RO, #(selRef_onLongTouch - 0x21E478) ; selRef onLongTouch 
RO, PC ; selRef onLongTouch 
R1, [RO] ; "onLongTouch" 
RO, R4 
SP, SP, #0х10 
(RA-R7,LR) 
j j. 9bjc msgSend 0 
End of function -[WCContentItemViewTemplateNewSight onLongPressedWCSight: ] 


图 9-14 onLongPressedWCSight: 


snakeninnysiMac:Documents snakeninny$ ssh root@localhost -р 2222 

FunMaker-5:~ root# debugserver *:1234 -а MicroMessenger 

debugserver-6 (#) PROGRAM:debugserver  PROJECT:debugserver-320.2.89 

for armv7. 

Attaching to process MicroMessengerhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 

Listening to port 1234 for a connection from *http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Waiting for debugger instructions for process 0. 


然后 看 看 微 信 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 
[ 0] 0x00000000 /private/var/mobile/Containers/Bundle/Application/E4EBD049-1A75-4830-BC65-0132C0EBC1CA/MicroMessenger .app/MicroMessenger (0x0000000000004000) 
[ 1] 0x022dc000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x00000000022dc000) 


微 信 的 ASLR 偏 移 是 0。 接 着 看 看 onLongPressedWCSightFullscreenWindow: 和 onLong Touch 的 基地 址 ， 如 图 9-15 和 图 9-16 所 示 。 


— : emp z 
| text:0021E484 ; Attributes: bp-based frame 

__text:0021E484 

__text:0021E484 ; void _ cdecl -[WCContentItemViewTemplateNewSight onLongPressedWCSightFullScreenWindow:] 
__text:0021E484 _ WCContentItemViewTemplateNewSight_onLongPressedWCSightFullScreenWindow__ 
__text:0021E484 ; DATA XREF: _ objc_const:01AF7368 0 
__text:0021E484 

__text:0021E484 var 14 - -0xl4 


|, text:0021bE484 var 10 = -0x10 

__text:0021E484 

__text:0021E484 PUSH {R4-R7,LR} 

__text :0021E486 ADD R7, SP, #0xC 

__text:0021E488 SUB SP, SP, #0x10 

__text:0021E48A MOV R4, RO 

__text:0021E48C MOV RO, #(classRef_iConsole - 0x21E4A0) 


图 9-15 onLongPressedWCSightFullScreenWindow: 49 2& 2 dk 


text:0021bE7EC ; WCContentitemViewTemplateNewSight - (void)onLongTouch 

text :0021E7EC Attributes: bp-based frame 

text :0021E7EC 

text:0021bE7EC ; void _ cdecl -[WCContentItemViewTemplateNewSight onLongTouch] 
text:0021bE7EC _ WCContentlItemViewTemplateNewSight onLongTouch _ 

text :0021E7EC ; DATA XREF: _ objc con 
text:0021E7EC 

text:0021bE7EC var 2C -0x2C 

text:0021bE7EC var 28 -0x28 

text:0021bE7EC var 24 -0x24 

text:0021bE7EC var 20 -0x20 

text:0021bE7EC var 1C -0x1C 

text :0021E7EC 

text :0021E7EC (RA-R7,LR) 

text:0021bE7EE R7, SP, #ОхС 

text:0021EbE7F0 (R8,R10,R11) 


9-16 onlLongTouchú jË 35 dk 


它们 的 基地 址 分 别 是 0x21e484 和 0x21e7ec。 下 面 在 两 个 函数 的 开头 各 下 一 个 断 点 ， 看 看 长 按 小 视频 播放 窗口 后 ， 断 点 会 不 会 被 触发 ， 如 下 : 


(lldb) br s -a 0x21e484 
Breakpoint 3: where = MicroMessenger' lldb unnamed function9789$$MicroMessenger, address = 0x0021e484 
(114) br s -a 0х21е7ес ihe i 
Breakpoint 4: where = MicroMessenger' _ lldb unnamed function9791$$MicroMessenger, address = 0х0021е7ес 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x0021e7ec MicroMessenger' | lldb unnamed function9791$$MicroMessenger, queue = 'com.apple.main-thread, stop reason = breakpoint 4.1 
frame 40: 0х0021е7ес МісгоМеѕѕепдег` lldb unnamed function9791$$MicroMessenger 
MicroMessenger' —lldb unnamed function9791$$MicroMessenger: 
-> 0x2le7ec: push 13, r5, r6, r7, lt) 
0х21е7ее: add r7, sp, #12 
0х21е7#0: push.w (r8, r10, r11} 
Ox21e7f4: sub sp, #32 
(1ldb) p (char *)$г1 
(char *) $0 = Ox017fdc2b "onLongTouch" 
(lldb) c 
Process 184500 resuming 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x0021e7ec МісгоМеѕѕепдег` lldb unnamed function9791$$MicroMessenger, queue = 'com.apple.main-thread, stop reason = breakpoint 4.1 
frame #0: 0х0021е7ес MicroMessenger' 1140 unnamed function9791$$MicroMessenger 
MicroMessenger' ^ lldb unnamed function9791$$MicroMessenger: 
-> 0х21е7ес: push (r4, r5, r6, r7, lr) 
0х21е7ее: add r7, sp, #12 
0х21е7#0: push.w (r8, r10, r11} 
Ox21e7f4: sub sp, #32 
(1140) p (char *)$г1 
(char *) $1 = Ox017fdc2b "onLongTouch" 


可 以 看 到 ，onLongTouch 被 调用 了 2 次 ,而 onLongPressedWCSightFullScreenWindow: 没 有 被 调用 。 再 看 看 onLongPressedWCSight: 的 调用 情况 ， 它 的 基地 址 如 图 9-17 所 示 。 


UU emp Те 
text:0021E414 Attributes: bp-based frame 
text:0021E414 
text:0021bE414 ; void _ cdecl -[WCContentItemViewTemplateNewSight onLongPressedWCSight: ] 
text:0021bE414 _ WCContentlItemViewTemplateNewSight onLongPressedWCSight _ 
text:0021E414 ; DATA XREF: — objc const:01AF735 
text:0021E414 


text:0021bE414 var 14 = -0x14 
text:0021E414 var_10 = -0x10 
七 ext :0021E414 
text:0021E414 PUSH 
text:0021E416 ADD R7, SP, #0xC 
SUB 
MOV 


(RA-R7,LR) 


text:0021E418 
text:0021E41A 


SP, SP, #0x10 
R4, RO 


| 


图 9-17 onLongPressedWCSight: 49 Ж dk 


然后 下 个 断 点 ， 看 看 它 会 不 会 被 触发 ， 如 下 : 


(114) c 
Process 184500 resuming 
(lldb) br del 
About to delete all breakpoints, do you want to do that?: [Y/n] y 
A11 breakpoints removed. (2 breakpoints) 
(lldb) br s -a 0х21е414 
Breakpoint 5: where = МісгоМеѕѕепдег` 1lldb unnamed function9788$$MicroMessenger, address = 0x0021e414 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x0021e414 MicroMessenger' 1196 unnamed function9788$$MicroMessenger, queue = 'com.apple.main-thread, stop reason = breakpoint 5.1 
frame #0: 0x0021e414 MicroMessenger' __11db_unnamed_function9788$$MicroMessenger 
MicroMessenger' 1140 unnamed function9788$$MicroMessenger: 
-> 0x21e414: push (m, r5, r6, r7, lt) 
0x21e416: ада r7, sp, #12 
0x21e418: sub sp, #16 
Ox21e41a: mov r4, го 
(114) p (char *)$г1 
(char *) $2 = 0x0182c799 "onLongPressedWCSight:" 
(lldb) c 
Process 184500 resuming 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x0021e414 MicroMessenger' 1190 unnamed function9788$$MicroMessenger, queue = 'com.apple.main-thread, stop reason = breakpoint 5.1 
frame #0: 0x0021e414 MicroMessenger' 119 unnamed function9788$$MicroMessenger 
MicroMessenger' 1lldb unnamed function9788$$MicroMessenger: 
-> 0x21e414: push {r4, r5, r6, r7, lr} 
0x21e416: add r7, sp, #12 
0x21e418: sub sp, #16 
0х21е41а: mov r4, го 
(114) p (char *) $ү1 
(char *) $3 = 0х0182с799 "onLongPressedWCSight:" 
(1140) ро $12 
<WCSightView: 0x2454dc0; baseClass = UIControl; frame = (0 3; 200 150); gestureRecognizers = <NSArray: 0х87е5110>; layer = «CALayer: ОхаЗре460>> 


这 里 onLongPressedWCSsight: 也 被 调用 了 2 次 ， 且 其 参数 是 一 个 WCSightView 对 象 。 到 此 ， 我 们 已 经 定位 到 了 小 视频 播放 窗口 的 长 按 响应 函数 ， 即 onLongPressedWCSight: 或 onLongTouch， 接 下 
来 就 要 开始 寻找 小 视频 的 踪影 了 。 


92.6 ”用 Cycript 定 位 小 视频 的 controller 


首先 点 击 小 视频 窗口 中 的 “Tap to download”， 把 视频 下 载 到 本 机 ， 如 图 9-18 所 示 。 


00:56 e 100% NE 


Moments 
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图 9-18 下载 小 视频 


下 载 成 功 后 ，“Tap to download” 字 样 消失 。 通 过 V 拿 到 C 进 而 定位 M 的 过 程 前 面 已 经 重复 过 很 多 次 了 ， 这 里 直接 操作 起 来 ， 如 下 : 


FunMaker-5:~ root# cycript -р MicroMessenger 

Cy# ?expand 

expand == true 

Cy# [[UIApp keyWindow] recursiveDescription] 

@"<iConsoleWindow: 0x2392e50; baseClass = UIWindow; frame = (0 0; 320 568); gestureRecognizers = <NSArray: 0x2391b00>; layer = <UIWindowLayer: 0х2391690>> 
| <UILayoutContainerView: 0x7e71870; frame = (0 0; 320 568); autoresize = W+H; layer = <CALayer: 0x7e71830>> 
| | <UITransitionView: 0x7e720b0; frame = (0 0; 320 568); clipsToBounds = YES; autoresize = W+H; layer = <CALayer: 0х7е722а0>> 

<WCContentItemViewTemplateNewSight: Oxd3be3e0; frame = (61 64; 200 153); clipsToBounds = YES; layer = <CALayer: 
| <WCSightView: 0x2454dc0; baseClass = UIControl; frame = (0 3; 200 150); gestureRecognizers = <NSArray: 0x8 
| | <UIImageView: 0xd34e8d0; frame = (0 0; 200 150); opaque = NO; userInteractionEnabled = NO; layer = «C 
| | <SightPlayerView: 0x7e50ff0; frame = (0 0; 200 150); layer = <CALayer: 0xd302770>> 
| | <UIView: 0xd37d9e0; frame = (0 0; 200 150); layer = «CALayer: 0xd37da50>> 
| | | <UIView: 0xd30d5f0; frame = (0 0; 200 150); tag = 10050; layer = <CALayer: 0х87е5650>> 
| 1 | <SightIconView: Oxd3be2e0; frame (0 0; 200 150); layer = «CALayer: 0xd3be380>> 
| | 


| | 
| | 
| | 
| | 
| | 
| | 
| 

I | | «MMUILabel: 0x7ee7530; baseClass = UILabel; frame = (0 103; 200 20); text = 'Tap to play'; hidde 


cy# [#0xd3be3e0 nextResponder] 

#"<WCTimeLineCellView: 0x872c530; frame = (0 0; 313 243); tag = 1048577; layer = <CALayer: 0x872ce80>>" 

cy# [#0x872c530 nextResponder] 

#"<UITableViewCellContentView: 0x8729d80; frame = (0 0; 320 251); gestureRecognizers = «NSArray: 0x8729f80>; layer = <CALayer: 0x8729df0>>" 

cy# [#0x8729d80 nextResponder] 

#"<MMTableViewCell: 0x8729be0; baseClass = UlTableViewCell; frame = (0 1164.33; 320 251); autoresize = W; layer = <CALayer: 0x8729b50>>" 

cy# [#0x8729be0 nextResponder] 

#"<UITableViewWrapperView: 0xab09890; frame = (0 0; 320 568); gestureRecognizers = <NSArray: Oxab09b00>; layer = <CALayer: 0x7e6e4b0»; contentOffset: (0, 0}; contentSize: (320, 
cy# [#0xab09890 nextResponder] 

#"<MMTableView: 0x30c3200; baseClass = UITableView; frame = (0 0; 320 568); gestureRecognizers = «NSArray: 0xab09600»; layer = <CALayer: 0xab09160»; contentOffset: (0, 1090); c 
cy# [#0х30с3200 nextResponder] 

#"<UIView: 0x7e3b040; frame = (0 0; 320 568); autoresize = WtH; layer = <CALayer: Ox7e3afd0>>" 


су# [#0x7e3b040 nextResponder] 
#"<WCTimeLineViewController: 0x28bd200>" 


我 们 拿 到 了 C， 即 WCTimeLineViewController; 同时 也 能 猜 到 ， 朋 友 圈 的 内 部 代号 是 “Time Line” , 


92.7 从 WCTimeLineViewController 找 到 小 视频 对 象 


通 览 WCTimeLineViewController 的 头 文件 ， 你 会 发 现 其 中 的 property 很 少 ， 也 没有 很 明显 地 访问 M 的 方法 ， 比 较 可 疑 的 地 方 是 其 中 的 2 个 全 局 变量 ， 如 下 : 


WCDataItem * inputDataItem; 
WCDataItem * cacheDateItem; 


但 它们 全 都 是 null， 如 下 : 


су# #0x28bd200->_cacheDateItem 
null Е 
cy# #0x28bd200-> inputDataTtem 
null = 


ЗЕЕ, WEERA? 当然 不 是 ! 因为 朋友 圈 是 以 TableView 的 形式 展示 的 ， 而 WCTimeLineViewController 中 存在 一 个 名 为 tableView:cellForRowAtlndexPath: 的 方法 ， 说 明 它 实 
现 了 UITable-ViewDatasource 协 议 ， 因 此 一 定 和 M 有 干 丝 万 缕 的 关系 。 那 就 去 IDA 里 一 探究 竟 ， 如 图 9-19 所 示 。 


9-19 [WCTimeLineViewControllertableView:cellForRowAtIndexPath:] 


Ий] 


Ий] 


通 览 这 个 函数 ， 你 会 发 现 | 


9-19 中 的 三 个 深 色 方块 是 整个 函数 的 核心 ， 其 他 的 部 分 只 是 在 给 这 个 cell 设 置 背景 图 、 主 题 、 颜 色 等 周边 元 素 。 现 在 近 距 离 看 看 这 三 个 深 色 方块 ， 如 


9-20 所 示 。 


RO, #isolkof gonUploadFailColl indexPath - Ox2AICAA) 
RO, PC ; solRef_gonUploadrailcell indoxpath № 
loc 2A1CCO RO, #(selRof gonNormalColl indoxPath - Ox2A1CC2) 
RO, PC ; solRef_gonNormalCell indexPath_ 


RO, f(solRef gonRoedHoartCell indexPath - 
RO, PC ; solRof gonRodEoartColl indoxPath 
loo 2A1CCO 


图 9-20 ”三 个 深 色 方 块 


辐 比 较 小 ， 从 左 至 右 的 三 个 函数 分 别 是 genUploadFailCell:indexPath、genNormalCell:indexPath: 和 genRedHeartCell:indexPath:。 小 视频 是 哪 种 cell 呢 ? 我 想 你 应 该 也 会 猜 它 是 “NormalCell” 
下 面 看 看 genNormalCell:indexPath: 的 实现 ， 如 图 9-21 所 示 。 


图 9-21 [WCTimeLineViewController genNormalCell:indexPath:] 


它 的 逻辑 并 不 复杂 ， 从 上 到 下 浏览 ， 很 快 就 能 发 现 一 个 可 疑 的 函数 ， 如 图 9-22 所 示 。 


图 9-22 的 getTimelineDataltemOfIndex: 很 有 可 能 就 是 当前 cell 的 数据 源 。 我 们 在 最 下 方 的 “_ text:002A091C BLX.W j_objc_msgSend” 上 下 一 个 断 点 ， 然 后 想 办 法 触发 它 一 一 当 UITableView 需 要 
显示 新 的 cell 时 ，tableView:cellForRowAtlndexPath: 会 得 到 调用 。 因 此 ， 为 了 让 断 点 停 在 带 有 小 视频 播放 窗口 的 cell| 上 ， 要 先 把 小 视频 滑 出 当前 界面 ， 然 后 再 滑 进来 。 因 为 在 把 小 视频 滑 出 去 的 时 候 ， 新 的 
cell 会 触发 断 点 ， 但 这 种 断 点 不 符合 要 求 ， 所 以 这 里 先 “dis 断 点 号 ”， 待 小 视频 窗口 完全 滑 出 当前 界面 后 ， 再 “en 断 点 号 ”， 然 后 把 小 视频 滑 回 来 ， 这 时 断 点 就 会 停 在 小 视频 cell| 上 ， 如 下 : 


R2, RO 
RO, #(selRef_calcDataItemIndex_ - 0x2A08B2) 
RO, selRef_calcDataItemIndex_ 
Rl, ; "calcDataItemIndex:" 
RO, 
j. objc msgSend 
R5, RO 
f(selRef defaultCenter - Ox2A08CE) 
#(classRef_MMServiceCenter -~ 0x2A08D0) 
PC ; selRef_defaultCenter 
PC ; classRef_MMServiceCenter 
[RO] ; "defaultCenter" 
[R2] ; | OBJC CLASS $ MMServiceCenter 
(SP, #0xC8+var_ Аё] 
j__objc_msgSend 
6, RO 
#(selRef class - Ox2A08E6) 
PC ; selRef_class 
[RO] ; "class" 
[SP,#0xC8+var А8] 
#(classRef WCFacade - Ox2A08F4) 
PC ; classRef_WCFacade 
[RO] ; _OBJC_CLASS $ WCFacade 
j. objc msgSend 
RO 
$(selRef getService - 0x2A0906) 
PC ; selRef getService 
[RO] ; "getService:" 
R6 


(SP, #0xC8+var_AC] 

j__objc_msgSend 
#(:lowerl6:(selRef_getTimelineDataItemOfIndex_ - 0x2A091C)) 
R5 
#(supperl6: (selRef_getTimelineDataItemOfIndex_ - 0x2A091C)) 
PC ; selRef getTimelineDataItemOfIndex 
[R1] ; "getTimelineDataItemOfIndex:" 

j__objc_msgSend 


图 9-22 [WCTimeLineViewController genNormalCell:indexPath:] 


(1146) br s -a 0x2A091C 


Breakpoint 6: where = MicroMessenger" lldb unnamed function11980$$MicroMessenger + 208, address = 0x002a091c 
Process 184500 stopped 


* thread #1: tid = 0x2d0b4，0x002a091c MicroMessenger` ) 1 | 
frame #0: 0x002a091c MicroMessenger' lldb unnamed functioni1980$$MicroMessenger + 208 
MicroMessenger lldb unnamed function11980$$MicroMessenger + 208: 


-» 0x2a091c: blx Oxe08e0c ; lldb unnamed function70162$$MicroMessenger 
0х2а0920: mov г11, rO =, =. m 
0x2a0922: movw r0, #32442 
0x2a0926: тоу r0, $436 

(1140) ni 


Process 184500 stopped 


* thread #1: tid = 0x2d0b4, 0x002a0920 MicroMessenger' lldb unnamed functionl1980$$MicroMessenger + 212, queue = 


frame #0: 0х002а0920 MicroMessenger' lldb unnamed functionl1980$$MicroMessenger + 212 


MicroMessenger' ^ 1190 unnamed function11980$$MicroMessenger + 212: 
-> 0x2a0920: mov rll, rO 

0x2a0922: movw r0, #32442 

0x2a0926: тоу r0, #436 

0x2a092a: add r0, pc 
(lldb) po $r0 


Class name: WCDataltem, addr: 0x80f52b0 
tid: 11896185303680028954 

username: wxid hqouu9kgsgw3e6 
createtime: 1418135798 

commentUsers: ( 

) 

contentObj: <WCContentItem: 0х8724с20> 


lldb unnamed function11980$$MicroMessenger + 208, queue = 


'com.apple.main-thread, stop reason = breakpoint 6.1 


'com.apple.main-thread, stop reason - instruction step over 


我 们 拿 到 了 一 个 WCDataltem 对 象 ， 它 的 内 部 还 有 一 个 WCContentltem 对 象 。 那 这 个 WCDataltem 对 象 到 底 是 不 是 小 视频 的 数据 呢 ? 


刚才 的 操作 ， 在 小 视频 滑 回 来 时 触发 断 点 ， 如 下 : 


值 给 置 NULL， 看 看 是 什么 效 


LLDB 来 测试 一 下 ， 把 这 个 返 


回 


Process 184500 stopped 

* thread #1: tid = 0x2d0b4, 0x002a091c MicroMessenger 
frame #0: 0х002а091с MicroMessenger' 1ldb unnamed function11980$$ MicroMessenger + 208 

MicroMessenger' _ 1100 unnamed function11980$$MicroMessenger + 208: 


-> 0x2a091c: blx 0xe08e0c ; lldb unnamed function70162$$MicroMessenger 
0х2а0920: mov г11, #0 nd ~ ia 
0x2a0922: movw r0, #32442 
0x2a0926: тоу r0, #436 

(114) ni 


Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a0920 MicroMessenger 1 | 
frame #0: 0х002а0920 MicroMessenger` lldb unnamed function11980$$ MicroMessenger + 212 


MicroMessenger`_ 1190 unnamed function11980$$MicroMessenger + 212: 
—> 0x2a0920: mov rii, r0 
0х2а0922: шоун тб, #32442 
0x2a0926: тоу r0, $436 
0x2a092a: add r0, pc 
(1140) register write r0 0 
(114) br del 


About to delete all breakpoints, do you want to do that?: 
All breakpoints removed. (1 breakpoint) 
(114) c 


[Y/n] y 


lldb unnamed function11980$$MicroMessenger + 208, queue = 


lldb unnamed function11980$$MicroMessenger + 212, queue = 


'com.apple.main-thread, stop reason = breakpoint 6.1 


'com.apple.main-thread, stop reason - instruction step over 


此 时 ， 第 一 条 小 视频 完全 消失 了 ， 效 果 如 图 9-23 所 示 。 说 明 它 的 数据 源 就 是 WCDataltem。 在 分 析 WCDataltem 之 前 ， 我 们 
[WCContentltemViewTemplate-NewSight onLongTouch] 中 拿 到 它 的 WCDataltem 对 象 ? 


TI Tara 3 


11:13 


Moments 


< Discover 


临 的 问题 是 ， 如 何 从 被 钩 住 (hook) 的 函数 


IOSRE 


Guess what this is? SpongeBob 
baby powders 


11 hours ago = 


BJ9-23 ”把 返回 值 置 NULL 的 效果 


9.2.8 从 WCContentltemViewTemplateNew-sight 中 提取 WCDataltem 对 象 


还 记得 在 刚才 的 分 析 中 是 怎么 拿 到 WCDataltem 对 象 的 吗 ” 答 案 是 通过 getTimeline-DataltemOflndex: 函 数 。 回 到 图 9-22 中 ， 看 看 这 个 函数 的 调用 者 和 参数 都 是 什么 。 


可 以 看 到 ， 它 的 调用 者 是 getService: 的 返回 值 ， 参 数 是 calcDataltemlndex: 的 返回 值 ， 如 图 9-24 所 示 。 


getService: 和 calcDataltemlndex: 又 要 怎么 调用 呢 ? 下面 逐个 来 分 析 ， 先 看 getService:。 它 的 调用 者 来 自 “MOV R0,R6” , BDR6; R6 来 自 [MMServiceCenter defaultCenten] 的 返回 值 。 它 的 参数 来 
自 [WCFacade class] 的 返回 值 ， 如 图 9-25 所 示 。 


RO 
#(selRef_calcDataItemIndex_ - 0x2A08B2) 
PC ; selRef calcDataItemIndex_ 

; "calcDataItemIndex:" 


j__objc_msgSend 
RO 
#(selRef defaultCenter - Ox2A08CE) 
#(classRef_MMServiceCenter - 0х2А08р0) 
PC ; selRef_defaultCenter 
PC ; classRef_MMServiceCenter 
[RO] ; "defaultCenter" 
[R2] ; OBJC CLASS $ MMServiceCenter 
[SP, #0xC8+var A4] 
j__objc_msgSend 
, RO 
#(selRef_class - Ox2A08E6) 
PC ; selRef_class 
[RO] ; "class" 
[SP, #0xC8+var_A8] 
#(classRef_WCFacade - 0x2A08F4) 
PC ; classRef_WCFacade 
[RO] ; _OBJC_CLASS $ WCFacade 
j. objc msgSend 
R2, RO 
#(selRef_getService_ - 0x2A0906) 
PC ; selRef getService 
[RO] ; "getService:" 
R6 


[SP,fOxCB*var AC] 
j__objc_msgSend 
‚„ #(:lowerl16: (selRef_getTimelineDataItemOfIndex_ - 0x2A091C)) 


EEE 


, 
f(:upperl6:(selRef getTimelineDataltemOfIndex - 0x2A091C)) 
PC ; selRef getTimelineDataItemOfIndex 
[R1] ; "getTimelineDataItemOfIndex:" 
j. objc msgSend 


图 9-24 Ж A getTimelineDataltemOflndex: (1) 


RO 
#(selRef_defaultCenter - Ox2AO08CE) 
#(classRef_MMServiceCenter - 0x2A08D0 
PC ; selRef_defaultCenter 
PC ; classRef_MMServiceCenter 
[RO] ; "defaultCenter" 
[R2] ; OBJC CLASS $ MMServiceCenter 
(SP, #O0xC8+var_A4] 
j__objc_msgSend 
6, RO 
#(selRef class - Ox2A08E6) 
PC ; selRef_class 
[RO] ; "class" 
[SP, #0xC8+var A8] 
#(classRef WCFacade - Ox2A08F4) 
PC ; classRef WCFacade 
[RO] ; _OBJC CLASS $ WCFacade 
j__objc_msgSend 
R2, RO 
RO, #(selRef_getService_ - 0x2A0906) 
RO, PC ; selRef_getService_ 
[RO] ; "getService:" 
R6 


[SP,fO0xC8*var AC] 
objc msgSend 


图 9-25 Ж A getTimelineDataltemOflndex: (2) 


因此 getTimelineDataltemOflndex: 的 调用 者 可 以 通过 [[MMServiceCenter defaultCenter]getService:[WCFacade class]] 来 获得 。 接 着 分 析 calcDataltemlndex:， 它 的 调用 者 来 自 “MOV ROR4" , 
BDR4; 而 R4 就 是 self。 它 的 参数 来 自 [indexPath section] 的 返回 值 ， 如 图 9-26 和 图 9-27 所 示 。 


; void _ cdecl -[WCTimeL iewController genNormalCell:indexPath: 
. WCTimeLineViewCont er genNormalCell indexPath 


var C8= 


{R4-R7,LR} 
R7, SP, #0xC 
{R8,R10,R11} 
R4, SP, #0x40 
R4, R4, #0xF 
SP, R4 
(D8-D11), [R4@128}! 
(D12-D15), [R40128] 
P, SP, #0xBO 

3 


图 9-26 ff 4 getTimelineDataltemOflndex: (3) 


{R4-R7 ,LR} 
R7, SP, #0xC 
PUSH.W (R8,R10,R11) 
SUB.W R4, SP, #0х40 
BIC.W R4, R4, #0xF 
MOV SP, R4 
VST1.64 (D8-D11), [R48128]! 
VST1 .64 (D12-D15), [R4@128] 
SP, SP, #0xBO 
R67 
4, RO 
R6, [SP,f*OxC8*var А0] 
R10, R2 
R4, [SP,f*OxC8*var 88] 
RO, $(selRef row - 0x2A087E) 
RO, PC ; selRef row 
R1, [RO] ; "row" 
RO, R6 
j objc msgSend 
R8, RO 
RO, #(selRef section - 0x2A089 
RO, PC ; selRef section 
, [RO] ; "section" 
RO, R6 
R1, R5 
j__objc_msgSend 
RO, [SP,fOxC8*var 94] 


RO 
#(selRef_calcDataItemIndex_ ~ 0x2A08B2) 
PC ; selRef calcDataltemIndex 
[RO] ; "calcDataItemIndex:" 
4 
, 
.  objc msgSend 


图 9-27 Ж 4 getTimelineDataltemOflndex: (4) 


因此 getTimelineDataltemOflndex: 的 参数 可 以 通过 [WCTimeLineViewController calcDataltem-Index:[indexPath section]] 获 取 。 因 为 我 们 位 于 [WCContentlitemViewTemplateNewSight 
onLongTouch] 中 ， 所 以 可 以 通过 [self nextResponder] 依 次 拿 到 MMTableViewCell、MMTableView 和 WCTimeLineViewController， 再 通过 [MMTableView indexPathForCell: MMTableViewCell 拿 
到 indexPath， 这 个 过 程 在 9.2.6 节 已 经 得 到 了 验证 。 虽 然 看 起 来 有 些 麻烦 ， 但 至 少 通过 符合 MVC 标 准 的 方式 从 WCContentltemViewTemplateNewSight 中 成 功 提取 了 WCDataltem 对 象 。 值 得 一 提 的 

是 ，WCTimeLineViewController 和 WCContentltemViewTemplateNewSight 的 前 缀 是 WC， 笔 者 猜 它 是 “WeChat” 的 缩写 ; 而 MMTableViewCell 和 MMTableView 的 前 缀 是 MM ， 故 而 猜 它 

是 “MicroMessenger” 的 缩写 一 一 这 种 命名 上 的 不 统一 ， 可 能 就 是 因为 不 同 模块 不 同 分 工 而 造成 的 。 接 下 来 ， 重 点 剖析 WCDataltem， 把 小 视频 的 本 地 路 径 和 下 载 地 址 从 中 提取 出 来 。 


9.2.9 从 WCDataltem 中 提取 目标 信息 


打开 WCDataltem.h， 大 致 浏览 一 下 ， 如 下 : 


@interface WCDataItem : NSObject <NSCoding> 


int cid; 

NSString *tid; 

int type; 

int flag; 

NSString *username; 

NSString *nickname; 

int createtime; 

NSString *sourceUrl; 
NSString *sourceUrl2; 
WCLocationInfo *locationInfo; 
BOOL isPrivate; 
NSMutableArray *sharedGroupIDs; 
NSMutableArray *blackUsers; 
NSMutableArray *visibleUsers; 
unsigned long extFlag; 

BOOL likeFlag; 

int likeCount; 


NSMutableArray *likeUsers; 
int commentCount; 
NSMutableArray *commentUsers; 
int withCount; 
NSMutableArray *withUsers; 
WCContentItem *contentObj; 
WCAppInfo *appInfo; 

NSString *publicUserName; 
NSString *sourceUserName; 
NSString *sourceNickName; 
NSString *contentDesc; 
NSString *contentDescPattern; 
int contentDescShowType; 

int contentDescScene; 
WCActionInfo *actionInfo; 
unsigned int hash; 

SnsObject *snsObject; 

BOOL isBidirectionalFan; 
BOOL noChange; 

BOOL isRichText; 
NSMutableDictionary *extData; 
int uploadErrType; 

NSString *statisticsData; 


ii 
* (id)fromBuffer: (id)argl; 
* (id)fromServerObject: (id)argl; 
* (id)fromUploadTask: (id)argl; 
Gproperty(retain, nonatomic) WCActionInfo *actionInfo; // 
Gsynthesize actionInfo; 
Gproperty (retain, nonatomic) WCAppInfo *appInfo; // 
Gsynthesize appInfo; 
Gproperty (retain, nonatomic) NSArray *blackUsers; // 
Gsynthesize blackUsers; 
Gproperty (nonatomic) int cid; // @synthesize cid; 
@property(nonatomic) int commentCount; // @synthesize commentCount; 
Gproperty (retain, nonatomic) NSMutableArray *commentUsers; // 
Gsynthesize commentUsers; 
- (int)compareDesc: (id)argl; 
- (int)compareTime: (id)argl; 
Gproperty (retain, nonatomic) NSString *contentDesc; // 
@synthesize contentDesc; 
@property (retain, nonatomic) NSString *contentDescPattern; // 
@synthesize contentDescPattern; 
Gproperty (nonatomic) int contentDescScene; // @synthesize contentDescScene; 
Gproperty (nonatomic) int contentDescShowType; // @synthesize 
contentDescShowType; 
Gproperty (retain, nonatomic) WCContentItem *contentObj; // 
Gsynthesize contentObj; 
Gproperty (nonatomic) int createtime; // @synthesize createtime; 
= (void)dealloc; 
- (id)description; 
- (id)descriptionForKeyPaths; 
- (void)encodeWithCoder: (id)argl; 
Gproperty (retain, nonatomic) NSMutableDictionary *extData; // 
@synthesize extData; 
Gproperty (nonatomic) unsigned long extFlag; // @synthesize extFlag; 
@property(nonatomic) int flag; // @synthesize flag; 
- (id)getDisplayCity; 
id)getMediaWraps; 
BOOL) hasSharedGroup; 
unsigned int)hash; 
id)init; 
- (id) initWithCoder: (id)argl; 
Gproperty (nonatomic) BOOL isBidirectionalFan; // @synthesize isBidirectionalFan; 
- (BOOL)isEqual: (id)argl; 
Gproperty (nonatomic) BOOL isPrivate; // @synthesize isPrivate; 
- (BOOL)isRead; 
Gproperty (nonatomic) BOOL isRichText; // @synthesize isRichText; 
- (BOOL)isUploadFailed; 

(BOOL) isUploading; 

(BOOL) isValid; 
=- (id)itemID; 

(int)itemType; 
- (id)keyPaths; 
Gproperty (nonatomic) int likeCount; // @synthesize likeCount; 
Gproperty (nonatomic) BOOL likeFlag; // @synthesize likeFlag; 
Gproperty(retain, nonatomic) NSMutableArray *likeUsers; // 
@synthesize likeUsers; 
= (void) loadPattern; 
@property(retain, nonatomic) WCLocationInfo *locationInfo; // 
@synthesize locationInfo; 
- (void)mergeLikeUsers: (id) argl; 
- (void)mergeMessage: (id) argl; 
- (void)mergeMessage: (id) argl needParseContent: (ВОО) arg2; 
@property (retain, nonatomic) NSString *nickname; // 
@synthesize nickname; 
Gproperty (nonatomic) BOOL noChange; // @synthesize noChange; 
- (void)parseContentForNetWithDataItem: (id)argl; 
- (void) parseContentForUI; 
- (void) parsePattern; 
@property(retain, nonatomic) NSString *publicUserName; // 
@synthesize publicUserName; 
- (id) sequence; 
- (void) setCreateTime: (unsigned long) argl; 
- (void) setHash: (unsigned int) argl; 
- (void) setIsUploadFailed: (BOOL)argl; 
- (void) setSequence: (id) argl; 
@property (retain, nonatomic) NSMutableArray *sharedGroupIDs; // @synthesize sharedGroupIDs; 
Gproperty(retain, nonatomic) SnsObject *snsObject; // 
Gsynthesize snsObject; 
Gproperty(retain, nonatomic) NSString *sourceNickName; // 
Gsynthesize sourceNickName; 
Gproperty (retain, nonatomic) NSString *sourceUrl2; // 
@synthesize sourceUrl2; 
Gproperty (retain, nonatomic) NSString *sourceUrl; // 
@synthesize sourceUrl; 
Gproperty(retain, nonatomic) NSString *sourceUserName; // 
Gsynthesize sourceUserName; 
Gproperty(retain, nonatomic) NSString *statisticsData; // 
@synthesize statisticsData; 
Gproperty (retain, nonatomic) NSString *tid; // @synthesize tid; 
Gproperty (nonatomic) int type; // @synthesize type; 
Gproperty (nonatomic) int uploadErrType; // @synthesize uploadErrType; 
Gproperty (retain, nonatomic) NSString *username; 
Gsynthesize username; 
Gproperty(retain, nonatomic) NSArray *visibleUsers; // 
Gsynthesize visibleUsers; 
Gproperty (nonatomic) int withCount; // @synthesize withCount; 
Gproperty(retain, nonatomic) NSMutableArray *withUsers; // 
Gsynthesize withUsers; 
- (id)toBuffer; 
Gend 


( 
( 
( 
( 


可 以 看 到 ， 文 件 中 一 共有 4 处 出 现 了 “path” 和 “url” 关 键 词 ， 如 下 : 


- (id)descriptionForKeyPaths; 

- (id)keyPaths; 

Gproperty (retain, nonatomic) NSString *sourceUrl2; 
Gproperty (retain, nonatomic) NSString *sourceUrl; 


下 面 用 LLDB 来 看 看 它们 都 会 返 


回 


什么 。 重 复 刚 才 的 操作 ， 在 小 视频 滑 


回 


来 时 触发 断 点 ， 如 下 : 


Process 184500 stopped 
* thread #1: tid = 0x2d0b4，0x002a091c 


МісгоМеѕѕепдег` lldb unnamed function11980$$MicroMessenger + 208, queue = 'com.apple.main-thread, stop reason = breakpoint 7.1 
frame #0: 0х002а091с 

MicroMessenger' 1100 unnamed function11980$$Micro Messenger + 208МісгоМеѕѕепдег` 1146 unnamed function11980$$MicroMessenger + 208: 

-» 0х2а091с: -plx Oxe08e0c ; 


.  lldb unnamed function70162$$MicroMessenger 
0x2a0920: mov rll, ро 
0x2a0922: movw r0, 432442 
0x2a0926: тоу r0, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x002a0920 
MicroMessenger' 1100 unnamed function11980$$MicroMessenger + 212, queue = 'com.apple.main-thread, stop reason = 
instruction step over 
frame #0: 0x002a0920 
MicroMessenger lldb unnamed functionl1980$$Micro Messenger + 212 
MicroMessenger'  lldb unnamed functionl11980$$MicroMessenger + 212: 
-> 0x2a0920: mov тїї, r0 ` 
0х2а0922: шоун тб, #32442 
0x2a0926: тоу r0, $436 
0x2a092a: ада r0, pc 
(1140) po [Sr0 descriptionForKeyPaths] 
Class name: WCDataltem, addr: 0x80f£52b0 
tid: 11896185303680028954 
username: wxid hqouu9kgsgw3e6 
createtime: 1418135798 
commentUsers: ( 
) 
contentObj: <WCContentItem: 0x8724c20> 
(114) ро [Sr0 keyPaths] 
« NSArrayI 0x87b5260> ( 


tid, 

username, 

createtime, 

commentUsers, 

contentObj 

) 

(1140) po [Sr0 sourceUr12] 
nil 

(114) po [Sr0 sourceUrl] 
nil 


这 几 个 函数 的 返回 值 并 没有 让 人 眼前 一 亮 的 信息 ， 但 多 次 出 现 的 NCContentltem 却 引起 了 笔者 的 注意 。 显 然 ，“content” 比 “data” 的 含义 更 明确 ， 小 视频 对 象 的 信息 有 可 能 就 是 它 提供 的 ， 下 面 来 
看 看 WCContentltem.h， 如 下 : 


@interface WCContentItem : NSObject <NSCoding> 
{ 

NSString *title; 

NSString *desc; 

NSString *titlePattern; 

NSString *descPattern; 

NSString *linkUrl; 

NSString *linkUrl2; 

int type; 

int flag; 

NSString *username; 

NSString *nickname; 

int createtime; 

NSMutableArray *mediaList; 
} 
@property(nonatomic) int createtime; // @synthesize createtime; 
=- (void)dealloc; 
@property(retain, nonatomic) NSString *desc; // @synthesize desc; 
@property(retain, nonatomic) NSString *descPattern; // 
@synthesize descPattern; 
- (void)encodeWithCoder: (id)argl; 
Gproperty (nonatomic) int flag; // @synthesize flag; 
- (id)init; 
- (id) initWithCoder: (id)argl; 
= (BOOL)isValid; 
Gproperty(retain, nonatomic) NSString *linkUrl; // 
@synthesize linkUrl; 
Gproperty(retain, nonatomic) NSString *linkUrl2; // 
@synthesize linkUrl2; 
Gproperty (retain, nonatomic) NSMutableArray *mediaList; // 
Gsynthesize mediaList; 
Gproperty(retain, nonatomic) NSString *nickname; // 
@synthesize nickname; 
Gproperty (retain, nonatomic) NSString *title; // @synthesize title; 
Gproperty (retain, nonatomic) NSString *titlePattern; // 
@synthesize titlePattern; 
Gproperty (nonatomic) int type; // @synthesize type; 
Gproperty (retain, nonatomic) NSString *username; // 
Gsynthesize username; 
Gend 


可 以 看 到 ， 文 件 中 一 共有 2 处 出 现 了 “url” 关 键 词 ， 如 下 : 


@property(retain, nonatomic) NSString *linkUrl; 
@property(retain, nonatomic) NSString *linkUrl2; 


通过 [WCDataltem contentObj] 函 数 可 以 获取 其 对 应 的 WCContentltem 对 象 ， 我 们 用 LLDB 看 看 上 面 2 个 property 的 值 。 


刚才 的 操作 ， 在 小 视频 滑 回来 时 触发 断 点 ， 如 下 : 


Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0х002а091с MicroMessenger` lldb unnamed function11980$$MicroMessenger + 208, queue = 'com.apple.main-thread, stop reason = breakpoint 7.1 
frame #0: 0х002а091с MicroMessenger' 1140 unnamed function11980$$Micro Messenger + 208 
MicroMessenger lldb unnamed functionl1980$$MicroMessenger + 208: 
-> 0х2а091с: blx 0xe08e0c ` ; | lldb unnamed function70162$$MicroMessenger 
0x2a0920: mov rll, ро 
0x2a0922: movw r0, 432442 
0x2a0926: тоу r0, $436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a0920 МісгоМеѕѕепдег` lldb unnamed functionl1980$$MicroMessenger + 212, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0х002а0920 MicroMessenger' 1140 unnamed functionl1980$$Micro Messenger + 212 
MicroMessenger lldb unnamed function11980$$MicroMessenger + 212: 
-> 0x2a0920: mov тїї, r0 ` 
0x2a0922: movw r0, 432442 
0x2a0926: тоу r0, #436 
0x2a092a: ада r0, pc 
(1140) po [Sr0 descriptionForKeyPaths] 
Class name: WCDataltem, addr: 0x80f52b0 
tid: 11896185303680028954 
username: wxid hqouu9kgsgw3e6 
createtime: 1418135798 
commentUsers: ( 
) 
contentObj: «WCContentItem: 0x8724c20» 
(1ldb) po [Sr0 keyPaths] 
< NSArrayl 0x87b5260»( 
tid, 
username, 
createtime, 
commentUsers, 
contentObj 
) 
(1140) po [Sr0 sourceUr12] 


nil 
(lldb) ро [$r0 sourceUrl] 
nil 


接 下 来 在 浏览 器 里 输入 这 个 url， 看 看 对 应 的 是 个 什么 东西 ， 如 图 9-28 所 示 。 
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跟 我 们 想 要 的 结果 驴 唇 不 对 马 嘴 。WCContentltem.h 里 的 内 容 本 来 就 不 多 ， 小 视频 会 藏 在 哪里 呢 ?” 回 看 这 个 文件 ， 一 个 名 为 mediaList 的 property 引 起 了 笔者 的 注意 。 相 对 于 “content”、 


“media” 的 定位 更 精确 了 ， 小 视频 会 不 会 藏 在 它 里 面 呢 ?还 是 用 LLDB 测 一 测 。 重 复 刚才 的 操作 ， 在 小 视频 滑 回来 时 触发 断 点 ， 如 下 : 


Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0х002а091с MicroMessenger' 1146 unnamed function11980$$MicroMessenger + 208, queue ='com.apple.main-thread, stop reason = breakpoint 8.1 
frame #0: 0х002а091с МісгоМеѕѕепдег` 1lldb unnamed function11980$$Micro Messenger + 208 
MicroMessenger' 1190 unnamed function11980$$MicroMessenger + 208: 
-> 0х2а091с: blx 0xe08e0c ; | lldb unnamed function70162$$MicroMessenger 
0x2a0920: mov г11, r0 
0х2а0922: тоун rO, #32442 
0x2a0926: movt r0, #436 
(1ldb) ni 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0х002а0920 MicroMessenger' lldb unnamed function11980$$MicroMessenger + 212, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0х002а0920 MicroMessenger' 1140 unnamed function11980$$MicroMessenger + 212 
MicroMessenger' 1140 unnamed function11980$$MicroMessenger + 212: 
-» 0x2a0920: mov rll, rO 
0х2а0922: тоун r0, #32442 
0x2a0926: movt r0, #436 
0x2a092a: add r0, pc 
(114) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] pathForData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814-9289-823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c4bc9a/wc/media/5/60/2a16b0b62baf39924448a74£a03f£2 
(1ldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] pathForPreview] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814-9289-823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c4bc9a/wc/media/5/7f/cdc7939813d1a 95feda4bed05f9b& 
(1146) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] pathForSightData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814-9289-823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c4bc9a/wc/media/5/60/2a16b0b62baf39924448a74£a03f£2 
(lldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] dataUrl] 
type[1], url[http://vcloud1023.tc.qq.com/1023 0114929ce86949a8bfb6f7b46b6b39Db8 . £0 .mp4] 
(ldb) po [[[[$x0 contentObj] mediaList] objectAtIndex:0] lowBandUrl] 
nil 
(lldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] previewUrls] 
« NSArrayM 0x8725950> ( 
type[1], url[http://mmsns.qpic.cn/mmsns/WiaWoRORjpHsUXCNL3dNsVLDibRZ9oufPnXeJqZdlG4xhND43M87sh7DRcxttVPxAO/0] 
) 


此 时 ， 一 个 新 的 类 WCMedialtem 出 现 了 。 下 面 看 看 它 的 头 文件 WCMedialtem.h， 如 下 : 


@interface WCMediaItem : NSObject <NSCoding> 
{ 
NSString *mid; 
int type; 
int subType; 
NSString *title; 
NSString *desc; 
NSString *titlePattern; 
NSString *descPattern; 
NSString *userData; 
NSString *source; 
NSMutableArray *previewUrls; 
WCUrl *dataUrl; 
WCUrl *lowBandUrl; 
struct CGSize imgSize; 
BOOL likeFlag; 
int likeCount; 
NSMutableArray *likeUsers; 
int commentCount; 
NSMutableArray *commentUsers; 
int withCount; 
NSMutableArray *withUsers; 
int createTime; 
} 
- (id).cxx construct; 
- (id)cityForData; 
Gproperty (nonatomic) int commentCount; // @synthesize comentCount; 
Gproperty(retain, nonatomic) NSMutableArray *commentUsers; // 
Gsynthesize commentUsers; 
- (id)comparativePathForPreview; 
Gproperty (nonatomic) int createTime; // @synthesize 
createTime; 
Gproperty (retain, nonatomic) WCUrl *dataUrl; // @synthesize dataUrl; 
- (void)dealloc; 
Gproperty (retain, nonatomic) NSString *desc; // (synthesize desc; 
Gproperty (retain, nonatomic) NSString *descPattern; // 
@synthesize descPattern; 
- (void)encodeWithCoder: (id)argl; 
- (BOOL)hasData; 
- (BOOL)hasPreview; 
- (BOOL)hasSight; 
- (id)hashPathForString: (id)argl; 
- (id)imageOfSize: (int)argl; 
Gproperty (nonatomic) struct CGSize imgSize; // @synthesize imgSize; 
- (üd)init; 
- (id) initWithCoder: (id)argl; 
- (BOOL)isValid; 
Gproperty (nonatomic) int likeCount; // @synthesize likeCount; 
Gproperty (nonatomic) BOOL likeFlag; // @synthesize likeFlag; 
Gproperty(retain, nonatomic) NSMutableArray *likeUsers; // 
Gsynthesize likeUsers; 
- (CDStruct c3b9c2ee)locationForData; 
Gproperty(retain, nonatomic) WCUrl *lowBandUrl; // 
@synthesize lowBandUrl; 
- (id)mediaID; 
- (int)mediaType; 
Gproperty(retain, nonatomic) NSString *mid; // @synthesize mid; 
- (id)pathForData; 
- (id)pathForPreview; 
- (id)pathForSightData; 
Gproperty(retain, nonatomic) NSMutableArray *previewUrls; // 
@synthesize previewUrls; 
- (BOOL)saveDataFromData: (id)argl; 
- (BOOL)saveDataFromMedia: (id)argl; 
- (BOOL)saveDataFromPath: (id)argl; 
- (BOOL)savePreviewFromData: (id)argl; 
- (BOOL)savePreviewFromMedia: (id)argl; 


(BOOL) savePreviewFromPath: (id) argl; 

- (BOOL) saveSightDataFromData: (id)argl; 
( 
( 


BOOL) saveSightDataFromMedia: (id) argl; 

BOOL) saveSightDataFromPath: (id) argl; 

- (BOOL) saveSightPreviewFromMedia: (id) argl; 

@property (retain, nonatomic) NSString *source; // @synthesize source; 
Gproperty (nonatomic) int subType; // @synthesize subType; 
Gproperty(retain, nonatomic) NSString *title; // @synthesize title; 
@property(retain, nonatomic) NSString *titlePattern; // 
@synthesize titlePattern; 

Gproperty (nonatomic) int type; // @synthesize type; 
Gproperty(retain, nonatomic) NSString *userData; // 

@synthesize userData; 

Gproperty (nonatomic) int withCount; // @synthesize withCount; 
Gproperty (retain, nonatomic) NSMutableArray *withUsers; // 
Gsynthesize withUsers; 

- (id)videoStreamForData; 

=- (id)voiceStreamForData; 

@end 


可 以 看 到 ， 在 头 文件 中 出 现 了 8 次 “path” 关 键 词 ， 如 下 : 


comparativePathForPreview; 
hashPathForString: (id)argl; 
pathForData; 

pathForPreview; 

) pathForSightData; 

BOOL) saveDataFromPath: (id) argl; 
BOOL) savePreviewFromPath: (id) argl; 
BOOL) saveSightDataFromPath: (id) argl; 


id) 
id) 
id) 
id) 
id 


( 
( 
( 
( 
(i 
( 
( 
( 


还 有 3 次 “url” 关 键 词 ， 如 下 : 


@property (retain, nonatomic) WCUrl *dataUrl; 
Gproperty (retain, nonatomic) WCUrl *lowBandUrl; 
Gproperty (retain, nonatomic) NSMutableArray *previewUrls; 


其 中 ，pathForData、pathForPreview 和 pathForSightData 极 有 可 能 返回 一 个 path; dataUrl、lowBandUrl 和 previewUrls 极 有 可 能 返回 ur|， 马 上 用 LLDB 看 看 这 些 返 回 值 是 什么 。 重 复 刚 才 的 操作 ， 
在 小 视频 滑 回 来 时 触发 断 点 ， 如 下 : 


Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a091c MicroMessenger' __11db_unnamed_function11980$$MicroMessenger + 208, queue = 'com.apple.main-thread, stop reason = breakpoint 8.1 
frame #0: 0х002а091с MicroMessenger' lldb unnamed function11980$$Micro Messenger + 208 
MicroMessenger~ 1idb_unnamed_function11980$$MicroMessenger + 208: 
-> 0x2a091c: blx O0xe08e0c ; ___11db_unnamed_function70162$$MicroMessenger 
0x2a0920: mov rll, r0 
0x2a0922: movw r0, #32442 
0x2a0926: тоу r0, #436 
(114) ni 
Process 184500 stopped 
* thread #1: tid = 0x2d0b4, 0x002a0920 МісгоМеѕѕепдег` lldb unnamed functionl1980$SMicroMessenger + 212, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x002a0920 MicroMessenger^ lldb unnamed functionll980$$MicroMessenger + 212 
MicroMessenger lldb unnamed function11980$$MicroMessenger + 212: 
-> 0x2a0920: mov rll, rO 
0x2a0922: movw r0, 432442 
0x2a0926: тоу r0, $436 
0x2a092a: ааа r0, pc 
(1ldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] pathForData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814-9289-823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c4bc9a/wc/media/5/60/2a16b0b62baf39924448a74fa03ff2 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] pathForPreview] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814-9289-823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c4bc9a/wc/media/5/7f/cdc7939813d1a 95feda4bed05f9b& 
(lldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] pathForSightData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814-9289-823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5c4bc9a/wc/media/5/60/2a16b0b62baf39924448a74fa03ff2 
(114) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] dataUrl] 
type[1], url[http://vcloud1023.tc.qq.com/1023 0114929ce86949a8bfb6f7b46b6539Db8 . £0 .mp4] 
(lldb) po [[[[$r0 contentObj] mediaList] objectAtIndex:0] lowBandUrl] 
nil 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] previewUrls] 
< NSArrayM 0x8725950> ( 
type[1], url[http://mmsns.qpic.cn/mmsns/WiaWbRORjpHsUXCNL3dNsVLDibRZ9oufPnXeJqZdlG4xhND43M87sh"7DRcxttVPxAO/0] 
) 


从 文件 名 就 可 以 看 出 ， 这 些 应 该 就 是 我 们 要 找 的 小 视频 信息 了 。 不 管 你 是 直接 在 ssh 中 操作 ， 还 是 用 iFunBox 浏 览 本 地 文件 ; 不管 你 是 用 MobileSafari， 还 是 用 Chrome 打 开 URL， 都 可 以 得 出 以 下 结 


athForData 返 回 小 视频 的 本 地 路 径 ， 不 带 后 组 名 ; 

athForPreview 返 回 小 视频 的 预览 图 片 路 径 ， 没 有 后 

athForSightData 返 回 小 视频 的 本 地 路 径 ， 带 后 组 名 ; 

+ dataUdl 返 回 小 视频 的 网 络 URL; 

:lowBandUn 返 回 nil， 笔 者 猜测 ， 当 网 络 状况 不 好 时 ， 它 的 值 不 为 nil; 为 了 节省 带宽 ， 这 个 URL 对 应 的 mp4 文 件 很 可 能 比 dataUd 对 应 的 文件 要 小 ; 


reviewUrls 返 回 小 视频 的 预览 图 URL。 


tweak 原 型 搭建 到 此 结束 ， 下 面 先 整理 一 下 思路 ， 再 开始 写 代码 。 


93 ”逆向 结果 整理 


本 章 的 实例 综合 运用 了 Cycript、IDA 和 LLDB 工 具 ， 在 没有 严格 推导 微 信 代码 逻辑 的 情况 下 完成 了 tweak 的 原型 搭建 工作 。 大 致 的 分 析 思 路 是 这 样 的 。 


1. 在 小 视频 播放 窗口 添加 长 按 手势 


因为 微 信 本 身 已 经 在 小 视频 播放 窗口 添加 了 长 按 手 势 ， 所 以 没有 必要 重新 发 明 轮子 ， 只 需要 找到 长 按 手势 的 响应 函数 ， 然 后 hook 它 就 可 以 了 。 用 Reveal 很 容易 就 可 定位 小 视频 播放 窗口 ， 从 而 找到 长 按 
手势 的 响应 函数 。 值 得 一 提 的 是 ， 找 到 的 函数 在 长 按 后 会 被 连续 调用 2 次 ， 导 致 相同 的 代码 重复 执行 ， 效 率 不 高 。 在 撰写 tweak 的 过 程 中 要 考虑 到 这 种 情况 ， 用 简单 的 条 件 判断 把 2 次 重复 调用 简化 为 1 次 调 


2. 在 C 里 寻找 小 视频 对 象 


虽然 MVC 设 计 标准 里 约定 了 可 以 通过 C 访 问 M ， 但 是 在 本 例 中 ，C 里 并 没有 出 现 比较 明显 的 访问 M 的 方法 。 因 此 本 章 从 最 基本 的 tableView:cellForRowAtlndexPath: 数 据 源 函 数 入 手 ， 在 IDA 
可 疑 的 cell 数 据 源 ， 并 通过 观察 头 文件 的 方式 定位 到 小 视频 对 象 ， 最 终 提取 出 了 想 要 的 信息 。 或 许 不 那么 严谨 ， 但 是 在 达到 目标 的 基础 上 节省 了 时 间 ， 这 个 结果 也 还 不 错 ! 


Im: 


94 编写 tweak 


本 节 的 目标 是 把 长 按 小 视频 播放 窗口 的 菜单 选项 给 替换 成 “Save to Disk” 和 “Copy URL”， 并 实现 相应 动作 。 有 了 9.3 节 的 原型 作为 铺垫 ， 这 一 节 就 没什么 太 多 可 解释 的 了 ， 咱 们 直接 动手 吧 。 


9.4.1 用 Theos 新 建 tweak 工 程 “iOSREWCVideoDownloader” 


新 建 iOSREWCVideoDownloaders 工 程 的 命令 如 下 : 


hangcom-mba:Documents sam$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
.] iphone/notification center widget 
] iphone/preference bundle ~ 
] iphone/sbsettingstoggle 
] iphone/tool 
.] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREWCVideoDownloader 
Package Name [com.yourcompany.iosrewcvideodownloader]: com.iosre.iosrewcvideodownloader 
Author/Maintainer Name [sam]: sam 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.tencent.xin 
[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]: MicroMessenger 
Instantiating iphone/tweak in iosrewcvideodownloader/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/OEBPS/Text/... 
Done. 


о со] сул» QN HÀ 


' 


94.2 fTjiEiOSREWCVideoDownloader.h 


编辑 后 的 iOSREWCVideoDownloader.h 内 容 如 下 : 


Qinterface WCContentItem : NSObject 

@property (retain, nonatomic) NSMutableArray *mediaList; 
@end 

@interface WCDataItem : NSObject 

Gproperty (retain, nonatomic) WCContentItem *contentObj; 
Gend 

Ginterface WCUrl : NSObject 

Gproperty (retain, nonatomic) NSString *url; 

Gend 

@interface WCMediaItem : NSObject 

Gproperty (retain, nonatomic) WCUrl *dataUrl; 

- (id)pathForSightData; 

Gend 

Ginterface WCContentItemViewTemplateNewSight : UIView 
- (WCMediaItem *)iOSREMedialtemFromSight; 

— (void)iOSREOnSaveToDisk; 

- (void) iOSREOnCopyURL; 

@end 

@interface MMServiceCenter : NSObject 

+ (id) defaultCenter; 

- (id) getService: (Class) argl; 

@end 

@interface WCFacade : NSObject 

- (WCDataItem *) getTimelineDataItemOfIndex: (int) argl; 
@end 

@interface WCTimeLineViewController : NSObject 

- (int) calcDataItemIndex: (int) argl; 


@end 

@interface MMTableViewCell : UITableViewCell 
@end 

@interface MMTableView : UITableView 

@end 


这 个 头 文件 的 所 有 内 容 均 摘自 类 对 应 的 头 文件 ， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 出 现任 何 报错 信息 和 警告 。 


9.4.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "iOSREWCVideoDownloader.h" 
static MMTableViewCell *iOSRECell; 
static MMTableView *iOSREView; 
static WCTimeLineViewController *iOSREController; 
shook WCContentItemViewTemplateNewSight 
%пем 
- (WCMediaItem *)iOSREMedialtemFromSight 
{ 
id responder = self; 
while (![responder isKindOfClass:NSClassFromString(@"WCTimeLineViewController")]) 
{ 


if ([responder isKindOfClass:NSClassFromString (@"MMTableViewCell")]) iOSRECell = responder; 
else if ([responder isKindOfClass:NSClassFromString (G"MMTableView")]) iOSREView = responder; 
responder = [responder nextResponder] ; 


} 
iOSREController = responder; 
if (!iOSRECell || !iOSREView || !iOSREController) 
{ 
NSLog(G"iOSRE: Failed to get video object."); 
return nil; 
} 
NSIndexPath *indexPath = [iOSREView indexPathForCell:iOSRECell]; 
int itemIndex = [iOSREController calcDataItemIndex: [indexPath section]]; 
WCFacade *facade = [(MMServiceCenter *)[$c(MMServiceCenter) defaultCenter] getService:[$c(WCFacade) class]]; 
WCDataltem *dataItem = [facade getTimelineDataltemOfIndex:itemIndex]; 
WCContentItem *contentItem = dataItem.contentObj; 
WCMedialtem *mediaItem = [contentItem.mediaList count] != 0 ? (contentItem.mediaList) [0] : nil; 
return mediaItem; 
new 
(void) LOSREOnSaveToDisk 


ma] goes 


NSString *localPath = [[self iOSREMediaItemFromSight] pathForSightData] ; 
UISaveVideoAtPathToSavedPhotosAlbum(localPath, nil, nil, nil); 


new 
(void) iOSREOnCopyURL 


— ! ge 


UIPasteboard *pasteboard = [UIPasteboard generalPasteboard]; 
pasteboard.string = [self iOSREMediaItemFromSight].dataUrl.url; 
} 
static int iOSRECounter; 
- (void) onLongTouch 
{ 
iOSRECounter++; 
if (iOSRECounter $ 2 == 0) return; 
[self becomeFirstResponder]; 
UIMenultem *saveToDiskMenuItem = [[UIMenuItem alloc] initWithTitle:@"Save to Disk" action:G8selector (iOSREOnSaveToDisk)]; 
UIMenuItem *copyURLMenuItem = [[UIMenuItem alloc] initWithTitle:@"Copy URL" action:@selector (iOSREOnCopyURL)]; 
UIMenuController *menuController - [UIMenuController sharedMenuController]; 
[menuController setMenuItems:@[saveToDiskMenuItem, copyURLMenuItem]]; 
[menuController setTargetRect:CGRectZero inView:self]; 
[menuController setMenuVisible:YES animated: YES]; 
[saveToDiskMenuItem release]; 
[copyURLMenuItem release]; 


de 


944 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
TARGET = iphone:latest:8.0 
ARCHS = armv7 arm64 
include theos/makefiles/common.mk 
TWEAK_NAME = iOSREWCVideoDownloader 
iOSREWCVideoDownloader FILES = Tweak.xm 
iOSREWCVideoDownloader FRAMEWORKS = UIKit 
include $ (THEOS МАКЕ PATH) /tweak.mk 
after-install:: | Е 

install.exec "killall -9 MicroMessenger" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosrewcvideodownloader 
Name: iOSREWCVideoDownloader 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Play with Sight! 

Maintainer: sam 

Author: sam 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


9.4.5 测试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 打 开 微 信 ， 长 按 小 视频 播放 窗口 ， 就 会 弹出 自 定义 菜单 ， 如 图 9-29 所 示 。 


e2coo 中 国联 通 21:28 @ 93% 


< Discover Moments о 


Save to Disk Copy URL 


21 hours ago 


99-29 自 定义 菜单 


mul "аме to Disk”， 这 个 小 视频 会 被 保存 到 相册 中 ， 如 图 9-30 所 示 。 


点 击 “Copy URL”， 然 后 到 OPlayer Lite (或 任意 支持 在 线 视频 播放 的 App) 中 打开 这 个 网 址 ， 如 图 9-31 所 示 。 
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图 9-30 ”把 小 视频 保存 到 相册 


21:40 
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1023_9f3d3a317e6948b5a84d826b954c6cca.f0.rnp4 


所 有 功能 均 可 正常 工作 ， 本 章 任务 达成 ! 


95 “彩蛋 放送 


9.5.1 从 UIMenultem 切 入 ， 找 到 小 视频 对 象 


图 9-31 在 OPlayer Lite 中 播放 在 线 mp4 


在 9.2.7 节 中 ， 从 WCTimeLineViewController 切 入 ， 找 到 了 小 视频 对 象 。 但 这 个 过 程 并 不 顺利 ， 因 为 没有 找到 通过 C 直 接 访问 M 的 方法 ， 所 以 才 “ 不 得 已 。 从 tableView:cellForRowAtindexPath: 中 寻 
找 小 视频 对 象 的 线索 ， 最 终 达 到 了 目标 。 如 果 跳 出 MVC 的 通用 思路 ， 从 微 信 本 身 的 角度 考虑 问题 ， 事 情 或 许可 以 简单 得 多 。 


一 起 来 思考 : 长 按 小 视频 播放 窗口 ， 


会 出 现 菜单 。 选 择 菜单 中 的 选项 ， 会 对 小 视频 做 出 相应 的 操作 一 一 也 就 是 说 ，UIMenultem 的 action 中 可 能 会 有 小 视频 对 象 的 线索 。 在 图 9-11 中 ， 我 们 曾 看 到 


过 “Favorite” 选 项 的 响应 函数 ， 即 onFavoriteAdd:， 那 就 去 IDA 中 看 看 它 的 实现 是 怎样 的 吧 ， 如 图 9-32 所 示 。 


WCContentItemViewTemplateNewSight - (void)onFavoriteAdd: (id) 
Attributes: bp-based frame 


; void _ cdecl -[WCContentItemViewTemplateNewSight onFavoriteAdd:] 
__WCContentItemViewTemplateNewSight_onFavoriteAdd__ 


var_28= 
var_24= 
var_20= 
уаг 1С= 


-0x28 
-0x24 
-0x20 
-Oxic 


{R4-R7,LR} 

R7, SP, #0xc 

{R8,R10,R11} 

SP, SP, #0x10 

R10, RO 
$(0ff 1A002FC - Ox21EAF4) ; off_1A002FC 
#(:lowerl6:(selRef_contentObj - Ox21EAFA)) 
PC ; off 1A002FC 
#(:upperl6:(selRef_contentObj - Ox21EAFA)) 
PC ; selRef contentObj 
[RO] ; WCDataltem * oDatalItem; 
[81] ; "contentObj" 
[RO] 
[R10,R4] 

j__objc_msgSend 
RO 
#(selRef mediaList - 0x21EB14) ; selRef medie 
PC ; selRef mediaList 
[RO] ; "mediaList" 


9-32 [WCContentItemViewTemplateNewSight onFavoriteAdd:] 


从 图 9-32 可 以 看 到 ， 这 个 函数 的 开头 部 分 出 现 了 我 们 熟悉 的 WCDataltem、contentObj 和 mediaList。 如 果 当 时 从 这 个 函数 入 手 ， 整 个 分 析 过 程 的 工作 量 至 少 可 以 减轻 一 半 。 看 来 ， 虽 然 以 MVC 标 准 为 


线索 从 App 切 入 代码 是 一 条 通 


9.5.2 ” 微 信 历 史 版 本 头 文件 个 数 变迁 


的 思路 ， 但 打破 常规 往往 能 取得 意 想 不 到 的 效果 ， 让 iOSs 逆 向 工程 变 得 更 好 玩 。 


从 微 信 历 代 版 本 头 文件 数量 的 变迁 中 (如 图 9-33 到 图 9-38 所 示 ) 可 以 看 出 ， 微 信和 是 如 何 一 步 步 迈 向 优秀 的 。 不 积 哇 步 无 以 至 干 里 ， 向 微 信 致 敬 。 
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header.3.0 Sep 19, 2012, 16:35 
D header.4.5 Feb 6, 2013, 16:12 


Ml header.5.0 Nov 21, 2013, 22:05 
D header.5.1 Dec 25, 2013, 21:24 
P3 header.6.0 Oct 19, 2014, 11:39 
m main.m Nov 3, 2012, 13:23 
© weixin-Info.plist Nov 3, 2012, 13:23 
h. weixin-Prefix.pch Nov 3, 2012, 13:23 


Ё Macintosh HD > 国 Users > @ sam * [fy Documents > [ш weixin > By weixin > Ml header.3.0 
1 of 15 selected, 14.97 GB available 


9-33 ” 微 信 不 同 版 本 的 头 文件 目录 


Date Modified 


MOUTU : — ou ОТЕ, TU. TS 


1 BottleSessionViewController.h Jul 1, 2012, 10:14 


1 BottleTextView.h 

ù BottleTipView.h 

1 BottleTipViewDelegate.h 

1 CAddChatRoomMemberEvent.h 
п CAddChatRoomMemberPrtl.h 
Y CAddMsgEvent.h 

1 CanvasManagerDelegate.h 

1 CAppObserverCenter.h 

Y CAppUtil.h 

1 CAppViewControllerManager.h 
1 CaptureVideolnfo.h 

Y CAuthEvent.h 

1 CAuthPrtl.h 

1 CAutoAuthPrti.h 

| CBaseContact.h 


1 CBaseContactinfoAssist.h 
1 CBaseDB.h 


Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 
Jul 1, 2012, 10:14 


ii 4 OM A Anst 4 


@ Macintosh HD > [jy Users > Ф sam > [W Documents » [g n » [fy weixin > [Jm header.3.0 


995 items, 14.96 GB available 


9-34 123.0, 9954- X Ж} 


Date Modified 


Feb 6, 2013, 16:12 
1) CMessageNodeData.h Feb 6, 2013, 16:12 

CMessageWrap.h Feb 6, 2013, 16:12 
1 CMMDB.h Feb 6, 2013, 16:12 
1 CMMDBResultNew.h Feb 6, 2013, 16:12 
1 CMMNotificationCenter.h Feb 6, 2013, 16:12 

CMMwVector.h Feb 6, 2013, 16:12 

CModDisturbSettingEvent.h Feb 6, 2013, 16:12 
1 CModifyHeadimgEvent.h Feb 6, 2013, 16:12 
1 CModifyHeadImgPrtl.h Feb 6, 2013, 16:12 
Y CModUserimgWrap.h Feb 6, 2013, 16:12 
1) CModUsrinfoEvent.h Feb 6, 2013, 16:12 
h) CMultiEvent.h Feb 6, 2013, 16:12 
1 CNetWorkMgr.h Feb 6, 2013, 16:12 
Y CNetworkStatus.h Feb 6, 2013, 16:12 
1 CNetworkStatusExt-Protocol.h Feb 6, 2013, 16:12 
h CNetworkStatusMgr.h Feb 6, 2013, 16:12 
1 CNetworkStatusReportArchive.h Feb 6, 2013, 16:12 


| CNetworkStatusReportOplogEvent.h Feb 6, 2013, 16:12 
Ë Macintosh HD > 88 Users > 合 sam > [f Documents > ш weixin > 88 weixin > 88 header.4.5 


Date Modified 
R CCTransitionZoomFlipX.h Nov 21, 2013, 22:05 
1 CCTransitionZoomFlipY.h Nov 21, 2013, 22:05 
1 CCTurnOffTiles.h Nov 21, 2013, 22:05 
| CCTwirl.h Nov 21, 2013, 22:05 
i CCUIViewWrapper.h Nov 21, 2013, 22:05 
1 CCWaves.h Nov 21, 2013, 22:05 
1 CCWaves3D.h Nov 21, 2013, 22:05 
п CCWavesTiles3D.h Nov 21, 2013, 22:05 
Y CDAsynchBufferLoader.h Nov 21, 2013, 22:05 
1 CDAsynchinitialiser.h Nov 21, 2013, 22:05 
CDAudiolnterruptProtocol-Protocol.h Nov 21, 2013, 22:05 

h. CDAudiolnterruptTargetGroup.h Nov 21, 2013, 22:05 
1 CDAudioManager.h Nov 21, 2013, 22:05 
h. CDAudioTransportProtocol-Protocol.h Nov 21, 2013, 22:05 
1 CDBufferLoadRequest.h Nov 21, 2013, 22:05 
1 CDBufferManager.h Nov 21, 2013, 22:05 
i CDFloatinterpolator.h Nov 21, 2013, 22:05 
| CDirectSend.h Nov 21, 2013, 22:05 
Y CDLongAudioSource.h Nov 21, 2013, 22:05 


Ë Macintosh HD > 88 Users > Ф sam * [fi Documents > [iy weixin > 88 weixin > 88 header.5.0 


3,734 items, 14.96 GB available 


9-36 125.0, 37344 X X4 


|». IVoiceReminderExt-Protocol.h 

h) IVoiceSearchExt-Protocol.h 

1 IVOIPExt-Protocol.h 
IVOIPModeSwitchExt-Protocol.h 

h) IVOIPSyncExt-Protocol.h 
IVOIPUILogicMgrExt-Protocol.h 

h) IWCMallControiLogicExt-Protocol.h 
IWCOfflinePayLogicMgrExt-Protocol.h 

h) IWCPayControlLogicExt-Protocol.h 


1 IWebviewAskAuthorizationLogicExt-Protocol.h 


1 IWXPresentExt-Protocol.h 

i) IWXTalkExt-Protocol.h 

1 JailBreakHelper.h 
JKArray.h 

1 JKDictionary.h 
JKDictionaryEnumerator.h 

a) JKSerializer.h 
“== h 


Date Modified 


Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 


= acintosh HD » Uses vemm Ii Documents > Ёш weixin > @щ weixin > Te 
3,537 items, 14.96 GB available 


Date Modified 


i i 
i SequencePageScr...taSource-Protocol.h 
п ServiceAppData.h 
h) ServiceAppListViewController.h 
h) ServiceAppsLogicimpl.h 
SessionAbstractDB.h 
1 SessionCellLayoutParam.h 
| SessionDelegate-Protocol.h 
| SessionSelectController.h 
1 SessionSelectContr...elegate-Protocol.h 
| SessionSortCache.h 
1 SessionSortLogic.h 
1 SessionStorageSetting.h 
SessionTranslatelnfos.h 
1 SetAPPListRequest.h 
| SetAPPListResponse.h 
1 SetAppSettingRequest.h 
] — ste m Sari h 


一 一 -一 一 全 一 一 一 一 一 一 一 


Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 
Oct 19, 2014, 11:39 


Oct 19, 2014, 11:39 
Net 10 2014 14-20 


2 KB 
452 bytes 
2 KB 
1 KB 
1 KB 
627 bytes 
2 KB 
776 bytes 
5 KB 
611 bytes 
1 KB 
784 bytes 
859 bytes 
919 bytes 
1 KB 
954 bytes 
1 KB 
1 KB 
2 KR 


Ë) Macintosh HD » Ba Users » Ф sam > їй Documents * [fy weixin > [By weixin > 88 header.6.0 


5,225 items, 14.96 GB available 


9-38 ” 微 信 6.0，5225 个 头 文件 


经 历 3、4、5、6 这 4 个 大 版 本 的 迭代 ， 微 信 的 头 文件 个 数 从 最 初 的 不 足 1000 到 现在 突破 5000， 增 加 了 5 倍 有 余 。 随 着 微 信 在 全 球 范围 内 的 普及 ，App 头 文件 个 数 突破 10000 已 经 指日可待 了 。 


9.6 小 结 


本 章 以 微 信 为 目标 ， 给 小 视频 功能 添加 了 保存 到 本 地 和 复制 URL 的 功能 ， 丰 富 了 小 视频 的 玩法 和 传播 渠道 。 微 信 作 为 一 个 功能 强大 的 平台 ， 结 构 复杂 、 代 码 量 大 ; 它 的 架构 设计 非常 考究 ， 模 块 划分 非 
常 清晰 ， 仅 仅 浏览 头 文件 就 能 借鉴 学 习 很 多 经 验 ， 甚 至 连 编码 风格 都 能 看 出 各 种 年 代 的 程序 员 的 痕迹 。 建 议 大 家 用 逆向 工程 的 方式 深入 了 解 微 信 的 设计 理念 ， 相 信 你 会 受益 菲 浅 ; 我 们 会 
在 http://bbs.iosre.com 上 讨论 交流 对 微 信 的 研究 心得 ， 欢 迎 关注 。 


第 10 章 ”实战 4: 检测 与 发 送 iMessage 


10.1 iMessage 


iMessage 是 苹果 公司 无 颖 整合 在 系统 原生 信息 应 用 (以 下 简称 MobileSMS) 内 的 即时 通信 服务 ， 其 出 生 于 iOS 5， 壮 大 于 iOS 8， 无 论 是 文字 传输 、 
节能 、 快 速 而 且 高 效 。 我 们 都 爱 iMessagel 


片 展示 、 语 音 还 是 视频 播放 ， 都 能 够 保证 安全 、 


D 


在 iMessage 的 所 有 功能 中 ，“ 检 测 对 方 是 否 支持 iMessage 通 信 ” 及 “发 送 iMessage” 的 功能 想必 是 大 家 最 感 兴趣 的 目标 ,没有 之 一 。 我 国 甚至 出 现 了 大 批 以 发 送 iMessage 广 告 为 业务 的 公司 ， 有 的 
已 经 赚 得 盒 满 钵 满 ， 但 给 iMessage 用 户 带 来 的 骚扰 却 无 人 买单 ， 而 这 也 是 笔者 出 品 Cydia 应 用 “SMSNinja” 的 主要 原因 之 一 。 知 道 怎么 攻击 ， 才 能 了 解 如 何 防守 ， 知 已 知 彼 方 能 百 战 不 列 ， 本 章 就 结合 前 
面 章节 的 所 有 知识 点 ， 从 零 开 始 逆向 出 检测 与 发 送 iMessage 的 功能 ， 作 为 全 书 案例 的 总 结 。 以 下 的 操作 在 iPhone 5, iOS 8.1 中 完成 。 


第 10 章 ”实战 4: 检测 与 发 送 iMessage 


10.1 iMessage 


iMessage 是 苹果 公司 无 颖 整合 在 系统 原生 信息 应 用 (以 下 简称 MobileSMS) 内 的 即时 通信 服务 ， 其 出 生 于 iOS 5， 壮 大 于 iOS 8， 无 论 是 文字 传输 、 图 片 展示 、 语 音 还 是 视频 播放 ， 都 能 够 保证 安全 、 
节能 、 快 速 而 且 高 效 。 我 们 都 爱 iMessagel 


在 iMessage 的 所 有 功能 中 ，“ 检 测 对 方 是 否 支持 iMessage 通 信 ” 及 “发 送 iMessage” 的 功能 想必 是 大 家 最 感 兴趣 的 目标 ， 没 有 之 一 。 我 国 甚至 出 现 了 大 批 以 发 送 iMessage 广 告 为 业务 的 公司 ， 有 的 
已 经 赚 得 盆 满 钵 满 ， 但 给 iMessage 用 户 带 来 的 骚扰 却 无 人 买单 ， 而 这 也 是 笔者 出 品 Cydia 应 用 “SMSNinja” 的 主要 原因 之 一 。 知 道 怎 么 攻击 ， 才 能 了 解 如 何 防守 ， 知 己 知 彼 方 能 百 战 不 列 ， 本 章 就 结合 前 
面 章节 的 所 有 知识 点 ， 从 零 开 始 逆向 出 检测 与 发 送 iMessage 的 功能 ， 作 为 全 书 案例 的 总 结 。 以 下 的 操作 在 iPhone 5, iOS 8.1 中 完成 。 


102 ”检测 一 个 号 码 或 邮箱 地 址 是 否 支 持 iMessage 


按照 惯例 ， 在 使 用 工具 开始 逆向 工程 之 前 ， 要 先 分 析 一 下 抽象 的 目标 ， 并 将 其 具体 化 ， 然 后 制定 这 次 逆向 工程 的 思路 ， 再 贯彻 思想 实地 执行 。 


10.2.1 ”观察 MobileSMS 界 面 元 素 的 变化 ， 寻 找 逆向 切入 点 


使 用 MobilesMS 的 朋友 都 会 注意 到 ， 在 发 送 一 条 信息 的 整个 过 程 中 ， 苹 果 都 会 通过 文字 及 颜色 的 变化 ， 来 提示 用 户 当 前 发 送 的 是 一 条 短信 (以 下 简称 SMS) 还 是 一 条 iMessage， 具 体 表 现在 以 下 几 方 
面 。 


A. 当 开始 编写 一 条 信息 ， 刚 输入 完 对 方 的 地 址 ， 还 没有 输入 信息 内 容 时 ， 如 果 iOS 检 测 到 对 方 支持 iMessage， 信 息 输 入 框 处 的 占 位 符 (placeholder) 就 会 由 “Text Message” 变 成 “iMessage”， 如 
图 10-1 所 示 。 


图 10-1 placeholder 的 变化 


B. 当 输入 信息 内 容 时 ， 如 果 对 方 仅 支 持 SMS， 则 输入 框 旁 的 “Send” 字 样 是 绿色 的 ; 如 果 对 方 支持 iMessage， 则 “send” 是 蓝 色 的 ; 
C. 当 点 击 “Send” 发送 此 条 信息 时 ， 如 果 这 是 一 条 SMS， 信 息 气泡 的 颜色 是 绿色 的 ; 如 果 是 一 条 iMessage， 气 泡 是 蓝 色 的 。 


这 3 种 现象 会 依次 出 现 ， 不 过 ， 因 为 检测 iMessage 的 操作 在 第 一 个 现象 里 已 经 出 现 了 ， 所 以 仅 把 这 一 个 现象 作为 切入 点 来 分 析 就 已 经 能 够 达到 本 节 的 目标 了 。 下 面 会 把 火力 集中 在 现象 A 上 。 


确定 了 切入 点 之 后 ， 跟 笔者 一 起 思考 ， 怎 么 把 这 个 现象 给 具象 化 成 逆向 工程 的 思路 : 


我 们 能 够 观察 到 的 是 发 生 在 UI 上 的 现象 ， 即 “Text Message” 变 成 “iMessage”。 我 们 知道 ，UI 上 显示 的 内 容 不 是 凭空 生成 的 ， 它 显示 的 是 其 数据 源 的 值 一 一 那么 就 可 以 根据 这 个 现象 ， 用 Cycript 找 
到 UI 的 数据 源 ， 即 placeholder。 


placeholder 也 不 是 凭空 生成 的 ， 它 的 值 也 来 自 它 的 数据 源 一 一 它 之 所 以 发 生 改 变 ， 是 因为 它 的 数据 源 (的 数据 源 的 数据 源 .….. 以 下 简称 N 重 数据 源 ) 发 生 了 改变 ， 类 似 于 下 面 的 伪 代 码 : 


id dataSource = ?; 
id a = function (dataSource); 
id b = function (a) ; 
id c = function (b); 


id z = function (у); 
NSString *placeholder = function (z); 


从 上 面 的 伪 代 码 可 以 知晓 ， 原 始 数据 源 是 dataSource，dataSource 发 生 了 变化 ， 间 接 导 致 placeholder 变 化 。 可 以 理解 吧 ? 那 原 始 数据 源 是 什么 呢 ? 在 现象 A 里 ， 我 们 唯一 输入 的 就 是 收 件 人 地 址 ， 因 
此 原始 数据 源 当 然 就 是 收 件 人 地 址 啊 ! 对 于 “检测 iMessage” 来 说 ，MobileSMS 中 应 该 存在 一 个 dataSource 转 换 为 placeholder 的 过 程 ， 这 个 过 程 就 是 “检测 iMessage” 的 确切 含义 ， 也 就 是 本 节 的 目 
标 ， 如 图 10-2 所 示 。 


recipient 
address 


message 


history 


datasource 


placeholder 


410-2 ”dataSource 转 化 为 placeholder 的 过 程 (1) 
1 观 ， 既 然 dataSource 已 知 ， 那 就 直接 从 它 入 手 ， 找 到 placeholder， 不 就 达到 目的 了 ? 但 是 现实 往往 没有 这 么 美好 一 一 我 们 没有 源 代码 ， 进 程 流程 一 般 也 没有 这 么 简单 ， 在 


为 placeholder 是 


4 条 路 中 的 哪 条 路 才能 到 达 placeholder? 在 这 种 情况 下 ， 因 


你 可 能 会 想 ， 图 10-2 这 么 直 
大 多 数 时 候 ，dataSource 转 换 为 placeholder 的 过 程 如 图 10-3 所 示 。 
的 关系 非常 复杂 。 如 果 从 dataSource 入 手 ， 如 何 知 道 它 要 下 


dataSource 要 经 过 多 重 转 换 才 能 生成 placeholder， 它 们 之 间 
终点 倒 推 起 点 ， 来 还 原 过 程 ， 是 更 高 效 更 可 行 的 做 法 。 


唯一 的 ， 所 以 从 placeholder 入 手 ， 


dataSource 


10-3 dataSource 转 化 为 placeholder 的 过 程 (2) 


总 结 一 下 ， 逆 向 工程 的 思路 是 这 样 的: 先 用 Cycript 定 位 placeholder， 然 后 通过 IDA 和 LLDB 寻 找 placeholder 的 N 重 数据 源 ， 


起 来 很 简单 是 吧 ? 实际 操作 起 来 你 就 知道 有 多 复杂 了 。 这 就 开始 吧 。 


10.22 用 Cycript 找 出 placeholder 


LELT TTI TTT OT hoa... 4... 4... ..... 4... ...4........... h... ......4.............l............. 


到 找到 dataSource， 最 


打开 MobileSMS， 新 建 一 条 信息 ， 在 地 址 输入 框 中 填写 “bbs.iosre.com” ， 然 后 点 击 “return” 结 束 输入 ， 如 | 


10-4 所 示 。 


recipient 
address 


message 
history 


placeholder 


后 还 原 dataSource 生 成 placeholder 的 过 程 。 看 


eeeoo DR > 21:52 


О 89% BBW) + 


New Message 


То: bbs.iosre.com. 


Cancel 


О Send 


QIWIEIRITIYIUIIIOIP 


AISIDIFIGIHIJIKIL 


ZIXICIVIBINIM 


123 0 sae @ . return 


图 10-4 新建 一 条 信息 


既然 要 用 Cycript 找 placeholder， 那 就 用 Cycript 来 找 找 显示 placeholder 当 前 值 “Text Message” 的 是 哪个 view，placeholder 一 定 跟 那个 view 密 切 相 关 ， 对 吧 ? 走 起 ! 执行 下 面 的 代码 : 


FunMaker-5:~ root# cycript -p MobileSMS 

Cy# ?expand 

expand == true 

Cy# [[UIApp keyWindow] recursiveDescription] 


上 面 代码 执行 之 后 ，Cycript 会 打印 出 keyWindow 的 视图 结构 ， 内 容 很 多 ， 就 不 贴 在 这 里 了 。 在 输出 里 搜索 “Text Message”， 发 现 一 个 匹配 也 搜 不 到 。 这 是 怎么 回 事 ? 相信 你 也 想到 了 一 一 “Text 
Message” 不 在 keyWindow 里 。 为 了 验证 我 们 的 猜想 ， 来 看 看 当前 这 个 界面 有 几 个 window， 如 下 : 


Cy# [UIApp windows] 
@[#"<UIWindow: 0x1575ca10; frame = (0 0; 320 568); gestureRecognizers = «NSArray: 0x15629c60>; layer = <UIWindowLayer: 0x156e36f0>>",#"<UITextEffectsWindow: 0x1579ab70; frame = 


可 以 看 到 ， 每 一 个 以 “#” 开 头 的 都 是 一 个 window， 这 里 一 共有 4 个 window， 其 中 第 一 个 是 keyWindow。 那 么 哪 一 个 是 “Text Message” 所 在 的 window 呢 ? 从 关键 字 上 也 能 猜测 出 ， 带 “Text” 字 
样 的 第 2 和 第 4 个 window 可 能 是 我 们 的 目标 ， 而 第 4 个 window 的 hidden 属 性 是 YES， 它 压根 儿 没有 显示 在 界面 上 ， 因 此 肯定 不 是 它 。 可 见 ， 第 2 个 window 很 可 能 就 是 我 们 的 目标 ， 用 Cycript 测 测 看 ， 如 
F: 


су# [#0x1579ab70 setHidden:YES] 


回 车 之 后 发 现 ， 不 只 是 信息 输入 框 ， 整 个 键盘 都 被 隐藏 起 来 了 ， 如 图 10-5 所 示 。 


eesoo 中 国联 通 F 21:52 © 8996 Emm + 


New Messaae Сапса! 


lo: bbs.iosre.com, 


10-5 信息 输入 框 及 键盘 被 隐藏 


从 而 可 以 得 出 结论 ，“Text Message” 就 位 于 这 个 window 中 ， 继 续 通 过 Cycript 来 定位 它 ， 如 下 所 示 : 


Cy# [#0x1579ab70 setHidden:NO] 

Cy# [#0x1579ab70 subviews] 

@[#"<UIInputSetContainerView: 0x1551fb10; frame = (0 0; 320 568); autoresize = W+H; layer = <CALayer: 0x1551f950>>"] 
cy# [#0x1551fb10 subviews] 

@[#"<ULInputSetHostView: 0х1551#5е0; frame = (0 250; 320 318); layer = «CALayer: 0x1551f480»»"] 

cy# [40x1551f5e0 subviews] 


@[#"<UIKBInputBackdropView: 0x16827620; frame = (0 65; 320 253); userInteractionEnabled = NO; layer = <CALayer: 0х1681с3#0>>", #"< UIKBCompatInputView: 0x157b88d0; frame 


上 面 代码 中 又 有 3 个 subview， 哪 个 是 “Text Message” 的 所 在 ?用 下 面 的 排除 法 来 过 一 遍 : 


(0 65 


су# [#0х16827620 setHidden:YES] 


上 面 语句 执行 之 后 变 成 了 图 10-6 所 示 的 界面 ， 说 明 这 个 view 只 是 键盘 背景 而 已 。 


执行 下 面 的 代码 : 


Cy# [#0x16827620 setHidden:NO] 
Cy# [#0x157b88d0 setHidden:YES] 


这 两 个 语句 执行 之 后 界面 变 成 了 图 10-7 所 示 的 状态 。 


esocoo 中 国联 通 F 13:50 


New Message 


To: bbs.iosre.com 


@ 85% M+ 


Cancel 


Send 
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123 ® © space return 
eecco 中 国联 通 > 13:52 о 8696 В, 
New Message Cancel 


lo: bbs.iosre.com 


图 10-7 ”键盘 按键 被 隐藏 


说 明 这 个 view 就 是 键盘 本 身 。 也 就 是 说 ，UIKBInputBackdropView 和 UIKBCompatinputView 共 同 构成 了 一 个 键盘 的 view， 这 种 官方 设计 模式 可 以 供 第 三 方 键盘 开发 者 或 键盘 主题 制作 者 参考 。 


现在 只 剩 最 后 一 个 subview 了 ，CKMessageEntryView 这 个 名 字 的 意义 其 实 也 很 明显 ， 还 是 像 下 面 这 样 验证 一 下 吧 : 


су# [#0x157b88d0 setHidden:NO] 
су# [#0х1682са50 setHidden:YES] 


执行 后 界面 如 图 10-8 所 示 。 


secco 中 国联 通 F 13:56 О 87% mm 


New Message Cancel 


lo: bbs.iosre.com 
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123 @ © space return 


图 10-8 信息 输入 框 被 隐藏 


通过 验证 , wA “Text Message” 在 CKMessageEntryView 中 。 继 续 缩小 范 | 


， 如 下 : 


ЕҢ 


су# [#0х1682са50 setHidden:NO] 
су# [#0х1682са50 subviews] 
@[#"<_UIBackdropView: 0х168се210; frame = (0 0; 320 65); opaque = NO; autoresize = WHH; userInteractionEnabled = NO; layer = < UIBackdropViewLayer: 0x168£5300>>",#"<UIView: 0х1 


还 是 使 用 排除 法 寻找 “Text Message” 所 在 的 view， 这 里 的 过 程 就 不 再 重复 了 ， 留 给 读者 自己 练习 。 在 定位 到 了 “UIView: Ox168dcf10" (注意 ， 是 第 二 个 UIView 对 象 ) 之 后 ， 继 续 查看 它 的 
subview， 如 下 : 


Cy# [#0x168dcf10 subviews] 


@[#"<CKMessageEntryContentView: 0x16389000; baseClass = UIScrollView; frame = (3 -4; 203.5 57.5); clipsToBounds = YES; opaque = NO; gestureRecognizers = <NSArray: 0x168f0730»; 


上 面 代码 中 只 有 一 个 subview， 继 续 查看 这 个 subview 的 subview， 如 下 : 


cy# [#0x16389000 subviews] 
@[#"<CKMessageEntryRichTextView: 0x16295200; baseClass = UITextView; frame = (0 20.5; 203.5 36.5); text = ''; clipsToBounds = YES; opaque = NO; gestureRecognizers = «NSArray: C 


还 是 用 排除 法 寻找 “Text Message” 所 在 的 view， 我 们 发 现 ， 当 执行 “[#0x16295200 setHidden:YES]" AY, RA "Text Message” 被 隐藏 了 ， 界 面 上 的 其 他 控件 并 未 受 影响 ， 如 图 10-9 所 示 。 


这 说 明 CKMessageEntryRichTextView 就 是 我 们 想 要 定位 的 view。 打 开 CKMessageEntry-Rich-TextView.h， 看 看 能 不 能 找到 placeholder 的 踪影 ， 如 图 10-10 所 示 。 


可 是 ， 在 CKMessageEntryRichTextView 中 搜 不 到 placeholder。 难 道 推理 出 了 差错 ? 不 要 着 急 ， 转 战 到 它 的 父 类 CKMessageEntryTextView 里 去 看 看 ， 如 图 10-11 所 示 。 


可 以 看 到 ， 满 屏 的 placeholder 字 眼 。 其 中 ，placeholderLabel 和 placeholderText 这 2 个 property 很 可 疑 ， 难 道 它们 就 是 我 们 在 找 的 placeholder? 用 Cycript 验 证 一 下 ， 执 行 如 下 命令 : 


су# [#0х16295200 setPlaceholderText:@"iOSRE"] 


еееоо 中 国联 通 > 21.89 g 91% Em + 


New Message Cancel 


lo: bbs.losre.com. 


Send 
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图 10-9 ”Placeholder 被 隐藏 


class-dump is Copyright (C) 1997-1998, 2000-2001, 2004-2013 by Steve Nygard. 


7 #import «ChatKit/CKMessageEntryTextView.h» 
8 
9 #import "NSTextStorageDelegate.h" 
10 
11 @class CKComposition, NSMutableDictionary, NSString; 
12 
13 @interface CKMessageEntryRichTextView : CKMessageEntryTextView «NSTextStorageDelegate» 
14 í 
15 BOOL . balloonColor; 
16 NSMutableDictionary * media0bjects; 
17 NSMutableDictionary * composelmages; 
18 CKComposition * pasteboardComposition; 
19 int _pasteboardChangeCount ; 
20 } 
21 
E486: Pattern not found: \V\cplaceholder 


图 10-10 CKMessageEntryRichTextView.h 


此 时 ， 界 面 变 成 了 下 面 这 个 样子 (如 图 10-12 所 示 ) 。 


11 @interface CKMessageEntryTextView : UITextView 
12 í 


И tamat PlaceholderF 
NSString *_autocorrectionContext; 
NSString *_responseContext; 
UILabel *_WPPPOYSPPSLabel; 


@property(retain, nonatomic) UlLabel *ЗЎТЕЗЗ оье1; // 
20 6property(copy, nonatomic) NSString *responseContext; // 6 
21 @property(copy, nonatomic) NSString *autocorrectionContext 
22 @property(nonatomic, gettereisShowingDictationgi is EE) 

Placeholderp 
23 - (void)textViewDidChange: (id)arg1; 

24 - (void)updateTextView; 

25 @property(readonly, nonatomic, getter=isSingleLine) BOOL si 
26 @property(copy, nonatomic) NSString #3176 Text; 

27 @property(copy, nonatomic) NSAttributedString *composition 
28 - (void)removeDictationResultZ AAEN: Cid)arg1 willInse 


图 10-11  CKMessageEntryTextView.h 
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910-12 ”更 改 placeholder 为 “iOSRE” 


不 错 ，placeholderText 就 是 我 们 要 找 的 placeholder， 自 此 它们 两 者 等 同 ， 为 了 避免 混淆 ， 下 文 统一 使 用 placeholderText。 旗 开 得 胜 ， 我 们 跨 出 了 万 里 长 征 的 第 一 步 ! 


10.2.3 用 IDA 和 LLDB 找 出 placeholderText 的 一 重 数据 源 


placeholderText 是 一 个 property， 而 要 改变 一 个 property， 笔 者 的 第 一 反应 就 是 它 的 setter。 在 通过 调 月 


BsetPlaceholderText:&&£&, #EplaceholderText "Text Message” 改 为 “iOSRE” 的 同时 ， 


不 妨 大 胆 假设 一 下 ，MobileSMS 会 不 会 也 是 通过 调用 这 个 setter 来 改变 placeholderText 的 呢 ? 实际 验证 一 下 是 最 好 不 过 的 ， 接 下 来 轮 到 IDA 和 LLDB 上 场 了 。 


析 结 束 后 ， 定 位 到 [CKMessageEntryTextView setPlaceholderText:]， 如 图 10-13 所 示 。 


因为 最 后 定位 到 的 CKMessageEntryTextView 类 来 自 ChatKit， 所 以 接 下 来 的 目标 是 分 析 MobileSMS 这 个 可 执行 文件 中 的 ChatKit 库 ， 可 以 理解 吧 ? 好 的 ， 把 ChatKit 的 二 进 制 文件 丢 到 IDA 中 ， 初 始 分 


CKMessageEntryTextView - (void)setPlaceholderText: (id) 


Attributes: bp-based frame 


void _ cdecl -[CKMessageEntryTextView setPlaceholderText: ] 
CKMessageEntryTextView setPlaceholderText _ 


{R4-R7,LR} 
RO 


#(selRef_placeholderLabel - 0x2693BCF2) 


SP, #0xC 
PC ; selRef placeholderLabel 
R2 
[RO] ; "placeholderLabel" 
R4 
_objc_msgSend 


10-13 [CKMessageEntryTextView setPlaceholderText:] (1) 


然后 用 LLDB 附 加 MobileSMS， 待 初始 化 完成 后 执行 “c” 命 令 ， 让 MobileSMS 运 行 起 来 ， 如 下 : 


(lldb) process connect connect://iOSIP:1234 
Process 200596 stopped 
* thread #1: tid = 0x30f94, 0x316554f0 libsystem kernel.dylib'mach msg trap + 20, queue = 'com.apple.main-thread, stop reason = signal SIGSTOP 
frame 40: 0x316554f0 libsystem kernel.dylib'mach msg trap + 20 
libsystem kernel.dylib'mach msg trap + 20: TE 
-> 0x316554f0: рор (r4, r5, r6, r8) 
0x316554f4: bx lr 
libsystem kernel.dylib'mach msg overwrite trap: 
0х316554#8: mov r12, sp 
0x316554fc: push (zà, r5, r6, r8) 
(114) c 
Process 200596 resuming 


之 后 ， 再 看 看 ChatKit 的 ASLR 偏 移 ， 如 下 : 


(1140) image list -o -f 

[ 0] 0x00079000 /private/var/db/stash/ .291MeZ/Applications/MobileSMS.app/Mobi leSMS (0x000000000007d000) 

[ 1] 0x0019c000 /Library/MobileSubstrate/MobileSubstrate.dylib (0x000000000019c000) 

[ 2] 0х01еас000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411)/Symbols/System/Library/Frameworks/Foundation.framework/Foundation 


[ 9] 0х01еас000 /Users/snakeninny/Library/Developer/Xcode/iOS DeviceSupport/8.1 (12B411) /Symbols/System/Library/PrivateFrameworks/ChatKit.framework/ChatKit 


这 个 偏 移 值 是 0x1eac000。 有 了 这 个 值 ， 就 可 以 在 [CKMessageEntryTextView setPlaceholderText:] 中 下 个 断 点 ， 看 看 它 有 没有 被 调用 ， 如 果 被 调用 ， 调 用 者 又 是 谁 。 为 了 把 断 点 下 在 这 个 函数 的 开头 


位 置 ， 要 先 在 IDA 中 看 看 这 个 函数 的 基地 址 ， 如 图 10-14 所 示 ， 可 以 看 到 ， 是 0x2693BCE0。 


text:2693BCEO ; CKMessageEntryTextView - (void)setPlaceholderText: (id) 


Attributes: bp-based frame 


void _ cdecl -[CKMessageEntryTextView setPlaceholderText:] 


; DATA XREF: _ objc 
{R4-R7,LR} 


R4, RO 


图 10-14 [CKMessageEntryTextView setPlaceholderText:] (2) 


所 以 断 点 地 址 是 0x1eac000+0x2693BCE0=0x287E7CE0。 


(lldb) br s -a 0x287E7CEO 
Breakpoint 1: where - ChatKit'-[CKMessageEntryTextViewsetPlaceholderText:], address - 0x287e7ce0 


接着 ， 把 地 址 输入 框 中 的 “bbs.iosre.com” 换 成 一 个 支持 iMessage 的 地 址 “snakeninny@gmail.com” ， 看 看 进程 会 不 会 停 在 断 点 上 。 这 时 ， 你 会 发 现 ， 在 实际 操作 中 ， 随 着 地 址 的 变动 ， 进 程 会 
次 停 在 断 点 上 ， 这 说 明 [CKMessageEntryTextView setPlaceholderText:] 被 调用 了 很 多 次 。 那 么 如 何 知道 是 在 哪 一 次 调用 中 ，placeholderText 从 “Text Message” 变 成 “iMessage” 呢 ? 此 刻 ， 之 前 介 


绍 的 comm 命 令 就 派 上 用 场 了 ， 命 令 如 下 : 


(lldb) br com add 1 
Enter your debugger command(s). Туре 'DONE' to end. 


这 个 命令 的 意思 很 简单 ， 就 是 在 断 点 触发 时 打印 R2 的 “Objective-C description" ， 即 setPlaceholdeText: 的 参数 ;然后 以 十 六 进 制 格式 打印 LR 的 值 ， 即 [CKMessageEntry-TextView 


setpPlaceholderText:] 的 返回 地 址 。 如 果 R2 的 值 是 “iMessage”， 说 明 系统 自身 也 是 通过 setPlaceholderText: 来 改变 placeholderText 的 ， 这 个 函数 的 参数 就 是 placeholderText 的 一 重 


数 


эй; 同时 因为 对 


应 LR 的 值 位 于 调用 者 的 地 址 范围 内 ， 所 以 可 以 找到 setPlaceholderText: 的 调用 者 ， 继 续 跟踪 参数 的 数据 源 ， 即 placeholderText 的 二 重 数据 源 。 清 空地 址 输入 框 ， 再 重新 输 
A “snakeninny@gmail.com” ， 看 看 LLDB 什 么 时 候 会 打印 “iMessage”， 如 下 : 


<object returned empty description> 
(unsigned int) $11 = 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
<object returned empty description> 
(unsigned int) $13 = 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
<object returned empty description> 
(unsigned int) $15 = 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
Text Message 

(unsigned int) $17 = 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
iMessage 

(unsigned int) $19 = 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 


可 以 看 到 ， 当 placeholder 变 成 “iMessage” 时 ，LR 的 值 是 0x28768b33。 根 据 第 4 章 “ 偏 移 后 指令 基地 址 = 偏 移 前 指令 基地 址 + 指令 所 在 模块 的 ASLR 偏 移 ” 公 式 ，0x28768b33- 
0x1eac000=0x268BCB33。 可 见 ， 这 个 地 址 位 于 ChatKit 内 ， 如 图 10-15 所 示 。 


selRef setPlaceholderText 
; "setPlaceholderText:" 


_objc_msgSend 
RO, #(selRef_setBalloonColor_ - 0x26 
RO, PC ; selRef_setBalloonColor_ 


== Color: " 
Q Jump to address "Uum olor 


Jump address 0x268BCB33 B 
Ment - 0х268ВСВ54) 
Hop | | Сакы | MONS Е 


图 10-15” 跳 转 到 ChatKit 中 的 0x268BCB33 


text :268 


说 明 MobileSMS 确 实 就 是 通过 setPlaceholder: 函 数 来 改变 placeholder 的 ， 函 数 的 参数 就 是 placeholder 的 一 重 数据 源 ， 同 时 二 重 数 据 源 的 线索 也 有 了 着 落 。 万 里 长 征 第 二 步 走 完 ， 有 惊 无 险 ! 


10.24 ”用 IDA 和 LLDB 找 出 placeholderText 的 N 重 数据 源 


前 面 在 操作 中 多 次 编辑 地 址 时 ， 不 知 大 家 有 没有 注意 到 一 个 现象 ， 那 就 是 当 我 们 正在 编辑 时 ，placeholderText 是 空白 的 ; 只 有 在 点 击 了 键盘 上 的 “return” 结 束 编辑 后 ，placeholderText 才 会 显 
示 “Text Message" 或 “iMessage”。 也 就 是 说 ， 当 地 址 编辑 结束 时 ，iOS 才 会 检测 当前 地 址 是 否 支持 iMessage， 出 于 节省 性 能 的 考虑 ， 这 样 的 设计 合情合理 。 也 正 是 基于 这 样 的 设计 ， 在 接 下 来 的 调试 
中 ， 可 以 先 把 目标 地 址 编辑 好 ， 然 后 设置 断 点 ， 最 后 点 击 “return” ， 这 样 断 点 如 果 被 触发 ， 则 说 明 进 程 停 在 了 iMessage 检 测 的 过 程 中 。 下 面 把 IDA 往 上 拉 ， 看 看 [CKMessageEntryTextView 
setPlaceholderText:] 的 调用 者 是 谁 ， 如 图 10-16 所 示 。 


CKMessageEntryView - (void)updateEntryView 
Attributes: bp-based frame 


; void _ cdecl -[CKMessageEntryView updateEntryView] 
. CKMessageEntryView updateEntryView 


图 10-16  [CKMessageEntryTextView setPlaceholderText:] 的 调用 者 


虽然 在 “更 新 输入 视图 ”的 时 候 “ 设 置 占 位 符 ”， 说 得 过 去 ， 但 是 ，[CKMessageEntryView updateEntryView] 没 有 参数 ， 它 怎么 知道 placeholderText 应 该 设置 成 “Text Message” 还 


Æ “iMessage” Dë? 那 只 有 一 种 可 能 ， 就 是 它 的 内 部 进行 了 判断 ， 得 出 了 该 地 址 支持 iMessage 的 结论 ， 改 变 了 placeholderText 的 二 重 数据 源 。 回 到 IDA， 看 看 二 重 数据 源 来 自 哪 里 ， 如 图 10-17 所 示 。 


RO, R6 

R1, [SP,#0x6C+var_60] 
_objc_msgSend 

RO, #0 

loc_268BCAFA 


RO, #(selRef_contentView - 0х268ВСВ12) ; selRef contentView 
RO, PC ; selRef contentView 
R8, [RO] ; "contentView" 
RO, R10 
Rl, R8 
_objc_msgSend 
4, RO 
#(selRef_setPlaceholderText_ - 0x268BCB2C) ; selRef setPl: 
R5 
PC ; selRef setPlaceholderText 
; "setPlaceholderText:" 


图 10-17 了 寻找 二 重 数据 源 


R2 即 函数 参数 ， 也 就 是 一 重 数据 源 ; 而 R2 来 自 于 R5， 因 此 R5 就 是 二 重 数据 源 。R5 又 是 来 自 于 哪里 呢 ” 这 里 出 现 了 分 支 ， 我 们 看 看 分 支 的 跳 转 条 件 ， 如 图 10-18 所 示 。 


#(selRef_recipientCount - 0 
PC ; selRef recipientCount 
; recipientCount" 


[SP,fOx6C*var 60] 
 objc msgSend 
RO, #0 
loc 268BCAFA 


图 10-18 ”分支 的 跳 转 条 件 


可 以 看 到 ， 跳 转 条 件 是 “[$r0 recipientCount]==0”。 “recipient” 的 字面 意思 很 明显 ， 就 是 指 信息 的 收 件 人 ， 当 收 件 人 数 为 0， 即 没有 收 件 人 时 ， 进 程 走 右 边 ， 否 则 走 左边 。 因 为 这 里 已 经 有 一 个 收 
件 人 了 ， 收 件 人 数 不 为 0， 所 以 进程 很 有 可 能 走 左边 。 要 验证 也 很 简单 ， 先 清空 地 址 输入 框 ， 然 后 在 地 址 输入 框 中 输入 “snakeninny@gmailcom” ， 接 着 在 右边 的 分 支 尾 部 下 一 个 断 点 ， 最 后 点 击 键盘 上 


的 


“return”。 此 时 ， 会 发 现 断 点 并 没有 得 到 触发 ， 因 此 可 以 肯定 地 说 ，R5 来 自 于 左边 的 [$r8_ck_displayName]， 即 [$r8_ck displayName] 是 三 重 数据 源 。 但 R8 又 来 自 哪 里 呢 ? 往 上 拉 IDA， 在 


[CKMessageEntryView updateEntryView] 的 开始 部 分 ， 可 以 看 到 R8 来 自 [[self conversation]sendingService]， 如 图 10-19 所 示 。 


因此 ，[[self conversation]sendingService] 是 四 重 数 据 源 。 再 用 LLDB 来 验证 一 下 判断 : 清空 地 址 输入 框 , 输入 “snakeninny@gmail.com”， 然 后 在 图 10-19 的 “MOV R8,R0” 处 下 一 个 断 点 ， 接 着 


点 击 “return”。 待 断 点 触发 时 执行 “po[$r0_ck_displayName]”， 看 看 是 否 会 输出 “iMessage”， 如 下 : 


{R4-R7 ,LR} 
R7, SP, #0xC 
(R8,R10,R11) 
SP, SP, #0х54 
R10, RO 
#(selRef conversation - 0x26 
; selRef conversation 
'conversation" 


gal haa d 
msgSend 


RO 
#(selRef_sendingService - Ox 
PC ; selRef .sendingService 
[RO] ; "sendingService" 
R6 
[SP,fOx6C*var 44] 

 objc msgSend 

R8, RO 


图 10-19 了 寻找 四 重 数据 源 


(lldb) br s -a 0x28768962 

Breakpoint 14: where = ChatKit'-[CKMessageEntryView updateEntryView] + 54, address = 0x28768962 
(lldb) br com add 14 

Enter your debugger command(s). Туре 'DONE' to end. 
» po [$r0 ck displayName] 

>с 

> DONE 

Text Message 

Process 200596 resuming 

Command #2 'c' continued the target. 

iMessage 

Process 200596 resuming 


Command #2 'c' continued the target. 


从 上 面 代码 来 看 ， 断 点 被 触发 两 次 ， 第 二 次 被 触发 时 ，iOS 检 测 到 “snakeninny@gmail.com” 支 持 iMessage。 既 然 “iMessage” 来 自 于 [[[self conversation]sendingService] ck displayName], 


么 [self conversation] 是 个 什么 类 型 的 对 象 ? [[self conversation]sendingService] 呢 ? 别 急 ， 下 面 一 个 一 个 来 看 。 


重新 输入 地 址 ， 然 后 在 [CKMessageEntryView updateEntryView] 的 前 两 个 “objc_msgSend” 上 各 下 一 个 断 点 ， 最 后 点 击 “return”， 现 在 来 看 看 这 里 的 对 象 类 型 ， 如 下 : 


EI 


Process 14235 stopped 
* thread #1: tid = 0x379b，0x2b528948 ChatKit`-[CKMessageEntryView updateEntryView] + 28, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x2b528948 ChatKit`-[CKMessageEntryView updateEntryView] + 28 
ChatKit`-[CKMessageEntryView updateEntryView] + 28: 
-> 0x2b528948: blx Ox2b5f5f44 ; symbol stub for: MarcoShouldLogMadridLevel$shim 
0x2b52894c: mov r6, x0 
0x2b52894e: шоун r0, #51162 
0x2b528952: тоу r0, #2547 
(114) p (char *)$r1 
(char *) $6 = 0x2b60cc16 "conversation" 
(11db) m 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b52894c ChatKit'-[CKMessageEntryView updateEntryView] + 32, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x2b52894c ChatKit'-[CKMessageEntryView updateEntryView] + 32 
ChatKit'-[CKMessageEntryView updateEntryView] + 32: 
-> 0x2b52894c: mov r6, r0 
0x2b52894e: шоун r0, #51162 
0x2b528952: тоу r0, #2547 
0x2b528956: add r0, pc 
(lldb) po $r0 
CKPendingConversation«0x1587e870»(identifier:' (null)' guid:' (null) '} (null) 


‚ [self conversation] 返 回 的 是 一 个 CKPendingConversation 类 型 的 对 象 。 接 着 看 下 一 个 ， 如 下 : 


(114) c 

Process 14235 resuming 

Process 14235 stopped 

* thread #1: tid = 0x379b，0x2b52895e ChatKit`-[CKMessageEntryView updateEntryView] + 50, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x2b52895e ChatKit`-[CKMessageEntryView updateEntryView] + 50 

ChatKit`-[CKMessageEntryView updateEntryView] + 50: 

-> 0x2b52895e: blx Ox2b5f5f44 ; symbol stub for: MarcoShouldLogMadridLevel$shim 
0x2b528962: mov r8, x0 


0x2b528964: тоун r0, #52792 
0x2b528968: movt rO, #2547 
(114) p (char *)$r1 
(char *) $8 = 0x2b6105e1 "sendingService" 
(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b528962 ChatKit'-[CKMessageEntryView updateEntryView] + 54, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x2b528962 ChatKit'-[CKMessageEntryView updateEntryView] + 54 
ChatKit'-[CKMessageEntryView updateEntryView] + 54: 
—> 0x2b528962: mov r8, rO 
0x2b528964: movw r0, #52792 
0x2b528968: movt r0, #2547 
0x2b52896c: ааа rü, pc 
(lldb) po $r0 
IMService [SMS] 
(114) po [Sr0 class] 
IMServiceImp1 


显然 ，[CKPendingConversation sendingService] 返 回 的 是 一 个 IMSercicelmpl 对 象 ， 且 其 值 为 “IMService[SMS]” (第 2 次 被 触发 时 就 会 变 成 “|IMService[iMessage]”) 。 因 此 ， 四 重 数据 源 就 
"[CKPendingConversation sendingService]”， 没 问题 吧 ? 


分 析 到 这 里 ， 再 回 到 IDA， 定 位 [CKPendingConversation sendingService]， 看 看 它 的 内 部 是 如 何 工作 的 ， 如 图 10-20 所 示 。 


其 中 的 逻辑 并 不 算 太 复杂 ， 但 在 若干 分 支 里 ， 进 程 实际 走 的 是 哪 一 条 路 呢 ? 用 LLDB 调 试 一 下 〈 下 断 点 前 先 重新 输入 地 址 ) ， 在 所 有 条 件 跳 转 指令 上 留意 一 下 跳 转 条 件 的 值 和 下 一 条 指令 的 地 址 ， 如 下 : 


Down 


图 10-20 [CKPendingConversation sendingService] 


Process 14235 stopped 
* thread #1: tid = 0x379b，0x2b5f0264 ChatKit`-[CKPendingConversation sendingService], queue = 'com.apple.main-thread, stop reason = breakpoint 3.1 
frame #0: 0x2b5f0264 ChatKit`-[CKPendingConversation sendingService] 
ChatKit`-[CKPendingConversation sendingService]: 
-> 0x2b5f0264: push fr4, кб, r7, lr) 
0x2b5f0266: add r7, sp, #8 
0x2b5f0268: sub sp, #8 
0x2b5f026a: mov r4, x0 
(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b5f027e ChatKit'-[CKPendingConversation sendingService] + 26, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x2b5f027e ChatKit'-[CKPendingConversation sendingService] + 26 
ChatKit'-[CKPendingConversation sendingService] + 26: 
-> Ox2b5f£027e: cbz r0, 0x2b5f02a4 ; -[CKPendingConversation sendingService] + 64 
0x205f0280: шоун r0, #38082 
0x2b5f0284: movt r0, #2535 


0x2b5f0288: str т4, [5р] 
(lldb) р $r0 
(unsigned int) $11 = 0 
(lldb) ni 
Process 14235 stopped 


* thread #1: tid = 0x379b, Ox2b5f£02b8 ChatKit'-[CKPendingConversation sendingService] + 84, queue = 'com.apple.main-thread, stop reason = instruction step over 


frame #0: Ox2b5f02b8 ChatKit'-[CKPendingConversation sendingService] + 84 
ChatKit'-[CKPendingConversation sendingService] + 84: 
-> O0x2b5f02b8: cbz r0, 0x2b5f02c4 ; -[CKPendingConversation sendingService] + 96 
0x2b5f02ba: mov r0, r4 
Ox2b5f02bc: mov rl, r5 


Ox2b5f02be: blx Ox2b5f5f44 ; symbol stub for: MarcoShouldLogMadridLevel$shim 
(114) p $r0 
(unsigned int) $12 = 341691792 
(lldb) ni 
Process 14235 stopped 


* thread #1: tid = 0x379b, 0x2b5£02c2 ChatKit'-[CKPendingConversation sendingService] + 94, queue = 'com.apple.main-thread, stop reason = instruction step over 


frame #0: Ox2b5f02c2 ChatKit'-[CKPendingConversation sendingService] + 94 
ChatKit'-[CKPendingConversation sendingService] * 94: 
-> 0x2b5f02c2: cbnz r0, 0x2b5f032c ; -[CKPendingConversation sendingService] + 200 
Ox2b5£02c4: шоун r0, #35464 
0x2b5f02c8: тоу r0, #2535 
Ox2b5f£02cc: add r0, pc 
(114) p $r0 
(unsigned int) $13 - 341691792 
(1140) ni 
Process 14235 stopped 


* thread #1: tid = 0x379b, 0x2b5f032e ChatKit'-[CKPendingConversation sendingService] + 202, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x2b5f032e ChatKit'-[CKPendingConversation sendingService] + 202 
ChatKit'-[CKPendingConversation sendingService] * 202: 
-> 0x2b5f032e: рор {r4, rS, r7, pe) 
ChatKit`-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:]: 
0x2b5£0330: push (r4, r5, r6, r7, lr) 
0x2505f0332: ааа r7, sp, #12 
0x2b5£0334: push.w (r8, r10, r11} 


进程 的 执行 流程 就 显而易见 了 。 这 里 一 共有 3 次 条 件 跳 转 ， 分 别 是 CBZ、CBZ 和 CBNZ， 而 此 时 的 R0 分 别 是 0、341691792 和 341691792， 由 此 可 知 进程 的 执行 流程 是 绿 线 、 红 线 、 蓝 线 、 绿 线 ， 如 图 10- 
21 所 示 。 


Down 


图 10-21 进程 的 执行 流程 


源 ， 没 问题 吧 ?” 现 在 ， 在 IDA 中 定位 到 了 新 的 函数 (如 图 10-22 所 


那么 [CKPendingConversation sendingService] 的 值 实际 来 自 [CKPendingConversation composeSendingService]， 它 是 五 


; CKPendingConversation - (id)composeSendingService 


id _ cdec1 -[CKPendingConversation composeSendingService] (stru 


. CKPendingConversation composeSendingService 
MOV Rl, $( OBJC IVAR $ CKPendingConversation. compose 
PC ; IMService * composeSendingService; 


[R1] ; IMService * composeSendingService; 
[RO,R1] 


End of function -[CKPendingConversation composeSendingService] 


图 10-22  [CKPendingConversation composeSendingService] 


很 明显 ，[CKPendingConversation composeSendingService] 只 是 读 取 了 实例 变量 composeSendingService 的 值 ， 也 就 是 阅 ，_composeSendingService 是 六 重 数据 源 。 既 然 如 此 ， 我 们 只 要 找到 


写 入 此 实例 变量 的 位 置 ， 就 找到 了 七 重 数据 源 了 。 


单 击 OBJC IVAR $ CKPendingConversation. composeSendingService， 让 光标 停留 在 其 上 ， 然 后 按 下 “x”， 打 开 此 变量 的 xrefs 窗 口 ， 如 图 10-23 所 示 。 


一 个 property， 打 开 CKPendingConversation.h 来 验证 一 下 ， 如 图 10-24 所 


在 这 里 ， 显 式 调用 composeSendingService 的 正好 是 一 个 getter 和 一 个 setter， 因 此 composeSendingService 很 可 能 是 


e e (3| xrefs to _OBJC_IVAR_$_CKPendingConversation._composeSendingService 


R1, #(_OBJC_IVAR_$_CKPend 
R1, PC ;IMService * compose! 
R1, [R1]; IMService * composet 
R1, #(_OBJC_IVAR_$_CKPend 
R1, PC ;IMService * compose! 
R1, [R1]; IMService * composet 
__obje2_ivar < OBJC IVAR $ CKPendingC 


| 


J 


国 
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ң1, } IMService *_composeSendingService; 
R1, [R1] ; IMService * composeSendingService; 
— [RO, R1] 


图 10-23 查看 交叉 引用 


11 @interface CKPendingConversation : CKConversation 
12 í 

13 BOOL _noAvailableServices; 

14 IMService *_previousSendingService; 


15 IMService *_composeSendingService; 

16 } 

17 

18 @property(nonatomic) IMService *composeSendingService; 
19 @property(nonatomic) IMService *previousSendingService; 


图 10-24 CKPendingConversation.h 


在 Objective-C 中 ， 对 property 的 写 操作 一 般 是 通过 setter 完 成 的 ， 那 么 要 寻找 七 重 数据 源 ， 就 要 在 [CKPendingConversation setComposeSendingService:] 上 下 一 个 断 点 ， 然 后 查看 其 调用 者 的 情 


况 。 操 作 流 程 跟前 面 完全 一 样 ， 先 重新 输入 地 址 ， 然 后 在 [CKPendingConversation setComposeSendingSservice:] 的 开始 处 下 一 个 断 点 ， 最 后 点 击 键盘 上 的 “return”， 触 发 断 点 ， 如 下 : 


Process 30928 stopped 
* thread #1: tid = 0x78d0，0x30b3665c ChatKit`-[CKPendingConversation setComposeSendingService:], queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x30b3665c ChatKit`-[CKPendingConversation setComposeSendingService: 
ChatKit`-[CKPendingConversation setComposeSendingService:]: 
—> 0x30b3665c: movw rl, #41004 
0x30b36660: тоу rl, #2535 
0x30b36664: ада rl, pe 
0x30b36666: ldr rl, [rl] 
(lldb) p/x $1г 
(unsigned int) $0 = 0x30b3656d 


用 这 里 的 LR 减 去 ChatKit 的 ASLR 偏 移 得 到 0x2698456D， 得 出 其 偏 移 前 的 值 。 再 在 IDA 中 跳 到 这 个 值 所 在 的 地 址 ， 如 图 10-25 所 示 。 


#(:lower16:(selRef_setComposeSendingSe 
R6 
#(:upper16:(selRef_setComposeSendingSe 


[R4,#0x14] 

PC ; selRef setComposeSendingService _ 

[R1] ; "setComposeSendingService: " 
_objc_msgSend 


图 10-25” 跳 转 到 ChatKit 中 的 0x2698456D 


[CKPendingConversation setComposeSendingService:] 的 参数 R2 就 是 七 重 数 据 源 。R2 来 自 R6， 因 此 R6 是 八重 数据 源 。 再 往 上 看 看 R6 是 什么 ， 如 图 10-26 所 示 。 


sub_ 26984530 


var 18= -0x18 
arg 0= 8 


(RA-R7,LR) 
R7, SP, #0хС 
(R8,R10) 
SP, #4 
R1 
$(selRef composeSendingService - 
RO 
PC ; selRef composeSendingService 
[R4, $0x14] 
R3 


[R1] ; "composeSendingService" 


loc 269845B0 


图 10-26 寻找 九重 数据 源 


R6 来 自 R1， 可 见 R1 是 九重 数据 源 。 那 么 R1 又 是 哪里 来 的 ?因为 现在 位 于 sub_26984530 的 内 部 ， 而 R1 没 有 被 赋值 就 直接 取 值 了 ， 说 明 R1 来 自 sub_26984530 的 调用 者 ， 对 吧 ? 那 就 去 看 看 
sub_26984530 的 交叉 引用 信息 ， 寻 找 它 的 调用 者 信息 ， 如 图 10-27 所 示 。 


Attributes: bp-based frame 
sub_26984530 


xrefs to sub_26984530 
Address 


-ICKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:]+24 


-ICKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:]+34 


图 10-27 查看 交叉 引用 


刷新 发 送 服务 ?这 个 名 字 有 点 “ 暖 昧 ” 啊 ! 到 图 10-28 中 所 示 的 [CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:] 中 看 一 看 ，sub_26984530 明 显 是 
refreshStatusForAddresses:withCompletionBlock: 的 第 二 个 参数 ， 即 completionBlock， 如 图 10-28 所 示 。 


这 里 虽然 显 式 用 到 了 sub_26984530， 但 只 是 作为 参数 传递 给 objc_msgSend 的 ， 并 没有 直接 调用 。 那 么 它 的 调用 者 到 底 是 谁 呢 ? 这 个 套路 前 面 已 经 反复 演练 过 了 : 
开始 处 下 断 点 ， 点 击 键盘 上 的 “return”， 触 发 断 点 ， 如 下 : 


limi 


新 输入 地 址 ， 在 sub_26984530 的 


PC ; Sub 26984530 

[SP, #0x24+var 20] 

#0 

[SP, #0x24+var 1C] 

[R12] ; "refreshStatusForAddresses:withCompletio"... 
[SP,#0x24+var 18] 


[SP, #0x24+var_14] 
[SP, #0x24+var_10] 
[SP,f$0x24*var C] 


图 10-28 [CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:] 


Process 30928 stopped 


* thread #1: tid = 0x78d0, 0x30b36530 ChatKit $86-[CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:] block invoke, queue = 'com.apple.main-t 
frame #0: 0x30b36530 ChatKit $86-[CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:] block invoke 


ChatKit 86-[CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:] block invoke: 
-> 0x30b36530: push (r4, r5, r6, r7, lr} 
0x30b36532: add r7, sp, #12 
0x30b36534: push.w (r8, r10} 
0x30b36538: sub p, #4 
(114) р/х $lr 
(unsigned int) $38 = 0x30b364bb 


LR 偏 移 前 的 值 是 0x30b364bb-0xa1b2000=0x269844BB。 定 位 到 IDA 中 ， 如 图 


10-29 所 示 。 


[RO, #0xC] 
R5 


Rá 
[5Р,#0х14+таг 14] 


loc 269844BA 

ADD SP, SP, #4 

LDR.W RB, [SP*OxlO*var 10] ,#4 
POP (RA-R7,PC) 


; End of function sub 26984444 


图 10-29 sub 2698453045388 Ж 


可 见 ，sub_26984530 并 没有 被 显 式 调用 
图 10-30 所 示 。 


， 而 是 在 sub_26984444 内 部 把 函数 的 地 址 存放 到 了 R6 中 ， 然 后 跳 转 过 去 隐 式 调用 。 那 么 自然 ， 九 重 数据 源 就 来 自 于 sub_26984444， 再 往 上 看 看 它 的 来 源 ， 如 


f_iMessageService - 0x26984474 selRef iMessageService 


) ; 
Ref IMServicelmpl - 0x26984476) ; classRef_IMServiceImpl 
lRef iMessageService 
assRef IMServiceImpl 
"iMessageService" 
 OBJC CLASS $ IMServiceImpl 
4 


loc 269844A4 
_objc_msgSend 
R1, RO 
RO, [R6,#0x14] 
RO, loc 269844BA 


10-30 寻找 十 重 数据 源 (1) 


这 个 subroutine 内 部 进行 了 多 次 判断 ， 才 决定 是 把 [IMServicelmpl smsService] 还 是 把 [IMServicelmpl iMessageService] 赋 给 R1。 我 们 看 看 判断 条 件 是 什么 (如 图 10-31 所 示 ) 。 


sub 26984444 


var_14= -0х14 


{R4-R7 ,LR} 
SP, #0xC 
[SP,fOxC*var 10]! 
SP, #4 
[R7,#arg 0] 
RO 


R3 
R2 
R8 
#2 
_2698447А 


loc_2698447A 


#(:lowerl6: (classRef_IMServiceImpl - 0x2698448A) ) 
#0xFF 

#(:upperl6: (classRef_IMServiceImpl - 0x2698448A)) 
PC ; classRef IMServiceImpl 

[RO] ; _OBJC CLASS $ IMServiceImpl 

26984498 


10-31 寻找 十 重 数 据 源 (2) 


当 R0 为 2 时 ，[IMServicelmpl iMessageService] 是 十 重 数据 源 ， 否 则 还 要 判断 R1 的 值 ， 若 其 值 是 0%， 则 十 重 数据 源 是 [IMServicelmpl smsService]， 否 则 是 [IMServicelmpl iMessageService]。 用 伪 代 
码 表示 如 下 : 


- (BOOL) supportIMessage 
{ 


if (RO == 2 || R1 != 0) return YES; 
return NO; 


也 就 是 说 ， 这 里 的 RO 与 R1 共 同 决定 十 重 数据 源 的 值 ， 它 们 俩 共同 担当 起 了 十 一 重 数据 源 的 重任 ， 我 们 分 别称 它们 为 十 一 重 数据 源 A 和 十 一 重 数据 源 B， 上 面 的 伪 代 码 也 可 以 写作 : 


- (BOOL) supportIMessage 


if (十 一 重 数据 源 A == 2 || 十 一 重 数据 源 B != 0) return YES; 
return NO; 


回 到 图 10-31， 再 看 看 十 一 重 数据 源 是 哪里 来 的 一 一 R0 来 自 于 “UXTB.W R0,R8” , 


ARM Compiler toolchain Assembler Reference 
Home > ARM and Thumb Instructions > UXTB 


UXTB 


Zero extend Byte. Extends an 8-bit value to a 32-bit value. 


Y Syntax 


UXTB{cond} (Rd), 


where: 


cond 


Rm {,rotation} 


is an optional condition code. 


Rd 


is the destination register. 


Rm 


is the register holding the value to extend. 


图 10-32 UXTB 的 作用 


依 图 10-32 所 示 的 ARM 官 方 文档 可 知 ，UXTB 的 作用 是 给 R8 中 存放 的 8 位 数值 高 位 填充 0， 将 其 扩展 到 32 位 ， 然 后 放 到 RO 里 去 (RO 是 32 位 寄存 器 ) ， 也 就 是 说 ，RO 来 自 于 R8，R8 是 十 二 重 数 据 源 A。 而 


arg 0=0x8, R8=*(R7+arg 0) =*(R7+0x8), R7=SP+0xc, 


此 R8=*(SP+0x14)， 即 *(SP+0x14) 是 十 三 重 数据 源 A。*(SP+0x14) 又 是 哪里 来 的 呢 ? 它 不 是 赁 空 产生 的 ， 因 此 在 “LDR.W R8,[R7,#8]” 之 


前 ， 一 定 有 一 条 指令 往 *(SP+0x14) 写 了 数据 ， 对 吧 ? 那里 就 是 十 四 重 数据 源 A 的 所 在 之 处 ， 我 们 要 倒 推 回 去 找到 这 个 往 *SP+0x14) 写 数据 的 地 方 。 


但 是 事情 远 没 有 说 起 来 这 么 简单 


因为 PUSH 和 POP 等 操作 会 改变 SP 的 值 ， 所 以 现在 的 *SP+0x14) 在 其 他 的 指令 中 可 能 会 由 于 SP 发 生变 化 而 变 成 *SP” +offset)， 而 offset 的 值 现 在 还 没 法 确定 ! 这 


下 子 麻 烦 了 ， 我 们 必须 找 出 “LDR.W R8,[R7,#8]” 之 前 每 一 个 往 *(SP” +offset) 写 数据 的 操作 ， 然 后 检查 (SP+0x14) 和 (SP” +offset) 是 否 相等 。 而 SP 的 变化 又 比较 频繁 ， 这 就 成 了 难点 。 请 大 家 一 定 跟 紧 
了 ,， 现 在， 要 从 “LDR.W R8,[R7,#8]” 开 始 ， 倒 推 并 检查 每 一 个 往 *(SP” + offset) 写 数据 的 操作 。 


frsub 26984444, "LDR.W R8,[R7,#8]” 前 的 4 条 指令 全 都 跟 SP 相 关 ， 把 当前 指令 还 未 执行 时 SP 的 值 用 SP1~ SP4 标 注 到 指令 上 ， 如 图 10-33 所 示 。 


sub_26984444 


var_14= -0х14 
var_10= -0x10 


arg 0- 8 


PUSH SP1 {R4-R7,LR} 
SP2 SP, #0xC 
SP2 [SP, #0xC+var_10]! 
SP2 SP, #4 
SP3 [R7,farg 0] 
RO 


R3 
R2 
R8 
#2 
} 2698447A 


loc_2698447A 
#(:lowerl6: (classRef_IMServiceImpl - 0x2698448A) ) 
#0xFF 
f(:upperi6:(classRef IMServicelmpl - 0x2698448A)) 
PC ; classRef IMServiceImpl 
[RO] ; OBJC CLASS $ IMServiceImpl 
26984498 


图 10-33 ”标记 不 同 的 SP 


当 “PUSH{R4-R7,LR}” 还 未 执行 时 ，SP 的 信和 是 SP1， 执 行 之 后 变 成 SsP2， 可 以 理解 吧 ? 下 面 一 条 条 指令 推导 一 下 这 里 的 SP 是 怎么 变化 的 : 


“PUSH{R4-R7LR}” 将 R4、R5、R6、R7 和 LR 共 5 个 寄存 器 入 栈 ， 每 个 寄存 器 都 是 32 位 即 4 字 节 ， 而 ARM 的 栈 是 满 递 碱 的 ， 因 此 ，SP2=SP1-5*0x4=SP1-0x14; "ADD R7,SP,#0xC” , BD 
R7=SP2+0xc， 没 有 影响 SP 的 值 ; “STR.W R8,[SP,#0xC+var_10]!” 中 的 var_ 10=-0x10， 因 此 这 条 指令 等 价 于 “STR.W R8,[SP,#-4]!" , BD*(SP2-0x4) =R8， 且 此 条 指令 仍 未 影响 SP 的 值 ; “SUB 
SP,SP,#4”， 即 SP3=SP2-0x4。 按 照 这 种 表达 方式 ， 十 三 重 数据 源 A 是 *(SP2+0x14)， 在 通过 “LDR.W R8,[R7,#8]” 取 值 时 尚未 在 sub_26984444 内 赋值 ， 因 此 *(SP2+0x14) 的 值 一 定 来 自 sub_26984444 的 
调用 者 。 类 似 地 ， 在 sub_26984444 内 部 R1 未 被 赋值 即 已 取 值 ， 它 也 一 定 来 自 sub_26984444 的 调用 者 ， 可 以 理解 吗 ? 如 果 还 不 理解 ， 就 把 这 一 段 重 看 一 遍 ， 一 定 要 先 想 清楚 ， 再 继续 看 下 面 的 内 容 。 


好 了 ， 十 三 重 数据 源 A 和 十 一 重 数据 源 B 都 来 自 sub_26984444 的 调用 者 ， 下 一 步 的 任务 已 经 很 明确 了 : 去 sub_26984444 的 调用 者 寻找 十 四 重 数据 源 A 和 十 二 重 数据 源 B。 


中 | 


输 地 址 ， 在 sub_26984444 的 开始 处 下 断 点 ， 点 击 键盘 上 的 “return”， 触 发 断 点 ， 如 下 : 


Process 30928 stopped 
* thread #1: tid = 0x78d0, 0x30b36444 ChatKit`  71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke, queue = 'com.apple.main-thread, stop rea 
frame #0: 0x30b36444 ChatKit`  71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke 
ChatKit' 71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke: 
-> 0x30b36444: push (r4, r5, r6, r7, lr) 
0x30b36446: add r7, sp, #12 
0x30b36448: str r8, [sp, #-4]! 
0x30b3644c: sub sp, #4 
(lldb) p/x Slr 
(unsigned int) $39 = 0х331#0475 


LR 偏 移 前 的 值 是 0x331f0d75-0xa1b2000=0x2903ED75， 并 不 在 ChatKkit 中 。 这 时 候 该 怎么 定位 0x2903ED75 位 于 哪 一 个 模块 呢 ? 方法 之 前 也 说 过 了 ， 那 就 是 在 sub_26984444 的 末尾 下 断 点 ， 然 
后 “ni” 到 调用 者 的 内 部 ， 看 看 它 在 哪个 模块 就 好 了 ， 如 下 : 


Process 30928 stopped 
* thread #1: tid = 0x78d0, 0x30b364c0 ChatKit  71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 124, queue = 'com.apple.main-thread, st 
frame #0: 0x30b364c0 ChatKit'  71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 124 
ChatKit ~ 71- [CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 124: 
-> 0x30b364c0: рор (r4, r5, r6, г7, ро} 
0x30b364c2: пор 
ChatKit' copy helper block : 
0x30b364c4: ldr rl, Cel, #20] 
0x30b364c6: adds r0, #20 
(lldb) ni 
Process 30928 stopped 
* thread #1: tid = 0x78d0, 0х331#0474 IMCore^ lldb unnamed function425$$1MCore + 1360, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x331f0d74 IMCore'  lldb unnamed function425$$1MCore + 1360 
IMCore" — 1190 unnamed function425$$IMCore + 1360: 
-> 0x331£0d74: movw r0, #26972 
0x331f0d78: movt r0, #2081 
0x331f0d7c: ада r0, pc 
0x331f0d7e: ldr ri, [r0] 


我 们 来 到 了 1IMCore 的 内 部 。 刚 才 已 经 计算 出 了 sub_26984444 执 行 完成 后 的 返回 地 址 是 0x2903ED75， 因 此 把 IMCore 拖 进 IDA， 待 分 析 完 毕 后 跳 转 到 0x2903ED75， 如 图 10-34 所 示 。 


loc_2903ED74 


моу 
ADD 
LDR 
моу 
BLX 


LDR.W 
B 


又 是 一 个 来 自 sub_ 2903E824 的 隐 式 调用 ， 且 它 上 面 的 4 条 指令 又 有 2 条 跟 SP 相 关 。 为 方便 阅读 ， 下 面 把 “BLX R6” 前 后 两 个 模块 的 指令 给 拼 到 一 张 图 里 ， 


loc_2903ED6A 


[SP, #0xA8+var 98] 


LDR 
моу š 

STR [SP, #0xA8+var A8] 
MOV 

BLX 


RO, #(selRef_ release - 0x2903ED80) 


RO, PC ; selRef release 
R1, [RO] ; "release" 
RO, R10 

. objc msgSend 

R10, [SP,fOxA8*var 84] 
loc 2903EEDA 


图 10-34 sub 2698444465 38H Ж 


拼接 前 后 的 效果 如 


图 


图 10-35 和 


10-36 所 示 。 


loc 2903ED6A 
[SP,#0xA8+var_ 98] 
R8 


[SP,fOxAB-*var А8] 
R5 


; Attributes: bp-based frame 


sub 26984444 


R7, SP, #0xC 
RB, [SP,fOxC*var 10]! 


[R7,#arg_0) 
RO 


2698447А 


10-35 ”拼接 前 


这 里 先 寻 找 十 四 


数据 源 A， 它 被 写 入 了 *(SP2+0x14)， 还 记得 吗 ?” 模 仿 上 面 的 步骤 ， 把 loc_ 2903ED6A 里 的 SP 标号 ， 如 图 


10-37 所 示 。 
然后 从 loc_ 2903ED6A 的 第 一 条 指令 开始 ， 看 看 这 里 的 SP 是 怎么 变化 的 : 


loc_2903ED6A 
P + 
IMCore ; LL. :#0xA8+var 98] 
[SP, #0xA8+var А8] 
R5 


PUSH (RA-R7,LR) 

ADD SP, #0xC 
[5Р,#0хС+уаг 10]! 
SP, #4 
[R7,farg 0] 
RO 


R3 
R2 
R8 
#2 
2698447А 


ChatKit 


810-36 ”拼接 后 


loc_2903ED6A 
sp! R3, [SP, #0xA8+var_98] 

R2, R8 
sp! R1, [SP,fOxAB8*var А8] 

R1 , R5 


5р1 (R4-R7,LR) 


sp2 R7, SP, #0xC 
[SP, #O0xC+var_10]! 
SP, #4 
[R7,#arg_0] 
RO 


#2 
2698447A 


图 10-37 ”标记 不 同 的 SP 


“LDR R3,[SP,#0xA8+var 98]”， 即 R3=*(SP1+0xA8+var_98)， 而 var_98=-0x98 (如 图 10-38 所 示 ) 。 


因此 R3=*(SP1+0x10)， 且 本 条 指令 不 影响 SP 的 值 ; 


sub 2903E824 


var А8= 
var А0= 
var 9C= 
var 98= 
var 94= 
var 90= 
var " BC» 
var 88- 
var 84- 
var 80= 
var 7C» 
var 7B* 
var 74= 
var 5c= 
var lC= 


-OxAB8 
-OxAO 
-0x9C 
-0x98 
-0x94 
-0x90 
=0x 8C 
-0x88 
-0x84 
=0x 80 
-0x7C 
-0x78 
-0x74 
-0x5C 
-ÜxlC 


图 10-38 sub 2903e824 


"MOV R2,R8” 跟 SP 无 关 ; 


SP 无 关 。 这 么 多 SP 可 能 会 把 你 绕 蜡 ， 再 梳理 一 下 其 中 的 逻辑 : 


目的 : 找到 写 入 *(SP2+0x14) 的 地 方 


因为 SP2=SP1-0x14 


"STR R1,[SP,#0xA8+var_A8]” 中 的 var_ A8=-0xA8， 即 *SP1=R1， 且 本 条 指令 也 不 影 


多 响 SP 的 值 ; 


“MOV R1,R5” 跟 


H*SP1=R1 


ARLA, “STR R1,[SP,#0xA8+var_A8]” 就 是 写 入 *(SP2+0x14) 的 地 方 ,十 据 源 A 就 是 这 条 指令 中 的 R11 而 十 二 重 数 据 源 B， 显 然 就 是 “MOV R1,R5” 中 的 R5。 从 十 三 重 数 据 源 A 到 十 四 重 数据 源 
A， 从 十 一 重 数据 源 B 到 十 二 重 数据 源 B 的 追踪 跨 模块 ， 逻 辑 比较 复杂 ， 用 图 10-39 来 展示 会 较为 直观 ， 建 议 大 家 对 照 着 这 张 图 ， 把 这 个 跨 模块 的 地 方 弄 清楚 。 


在 继续 分 析 之 前 ， 先 用 LLDB 来 验证 一 下 到 此 为 止 的 判断 : 重 输 地 址 ， 然 后 在 “STR R1,[SP,#0xA8+var_A8]” 上 设置 断 点 ， 打 印 R1， 即 十 四 重 数据 源 A; 执行 “ni” 命 令 到 “MOV R1,R5”， 打 印 R5， 
即 十 二 重 数据 源 B; 接着 要 经 历 一 次 模块 切换 ， 执 行 “si” 命 令 到 “CMP ROZ2" ， 打 印 R0， 即 十 三 重 数据 源 A; 执行 “ni” 命 令 到 “TST.W R1,#0xFF”， 打 印 R1， 即 十 一 重 数据 源 B。 点 击 “return″”， 触 
发 断 点 后 ， 看 看 它们 的 值 是 不 是 像 图 10-39 里 示意 的 那样 两 两 相等 ， 如 下 : 


sub_26984444 


var_14= -0х14 ChatKit 


var 10-2 -0x10 
z loc 2903ED6A !МСоге 


[SP, #0xA8+var 98] 

{R4-R7,LR} R8 

SP, #0xC [SP, #0xA8+var А8] 

[SP, #0xC+var 10]! R1, R5 

SP, #4 B i 

[R7 , #arg_0] 

RO 

R3 

R2 

12 

| 2698447A 


loc 2698447A 
MOVW p) *(:lowerl6:(classRef IMServicelmpl - 0х2698448А)) 
TST.W #ОхРР 
MOVT.W #(:upper16:(classRef_IMServiceImpl - Ox2698448A)) 
PC ; classRef IMServiceImpl 
[RO] ; 0OBJC CLASS $ IMServiceImpl 
_ 26984498 


10-39 ”数据 源 间 的 关系 


(114) br s -a 0x30230D6E 

Process 37477 stopped 

* thread #1: tid = 0x9265, 0x30230d6e ІМСоге` lldb unnamed function425$$IMCore + 1354, queue = 'com.apple.main-thread, stop reason = breakpoint 11.1 
frame #0: 0x30230d6e IMCore lldb unnamed function425$$1MCore + 1354 

IMCore' 1140 unnamed function425$$1MCore + 1354: 

-> 0x30230d6e: str ri, [spl 
0x30230d70: mov El, xb 
0x30230d72: blx r6 
0x30230d74: movw r0, #26972 

(1ldb) p $г1 

(unsigned int) $27 = 

(lldb) ni 

Process 37477 stopped 

* thread #1: tid = 0x9265, 0x30230d70 IMCore' lldb unnamed function425$$IMCore + 1356, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x30230d70 IMCore lldb unnamed function425$$1MCore + 1356 

IMCore' lldb unnamed function425$$1MCore + 1356: 

-> 0x30230d70: mov "il, r5 
0x30230072: blx r6 
0x30230d74: шоун r0, #26972 
0x30230d78: movt r0, #2081 

(114) p $r5 

(unsigned int) $28 = 

(lldb) ni 

Process 37477 stopped 

* thread #1: tid = 0x9265, 0x30230d72 IMCore' lldb unnamed function425$$IMCore + 1358, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame 40: 0x30230d72 IMCore lldb unnamed function425$$1MCore + 1358 

IMCore" — 1180 unnamed function425$$IMCore + 1358: 

-> 0x30230d72: blx r6 
0x30230d74:  movw r0, #26972 
0x30230d78: movt r0, #2081 
0x30230d7c: add r0, pc 

(lldb) si 

Process 37477 stopped 

* thread #1: tid = 0x9265, 0x2db76444 ChatKit "71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke, queue = 'com.apple.main-thread, stop ree 
frame #0: 0x2db76444 ChatKit' "71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke 

ChatKit' "71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke: 

-> 0x2db76444: push irj, r5, r6, rl, lr) 
0x2db76446: add r7, sp, #12 
Ox2db76448: str r8, [sp, #-4]! 
Ox2db7644c: sub sp, #4 

(114) ni 

Process 37477 stopped 

* thread #1: tid = 0x9265, 0х2407645с ChatKit' _71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 24, queue = 'com.apple.main-thread, stc 
frame 40: Ox2db7645c ChatKit' 71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 247 

ChatKit "71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 24: 

-> Ox2db7645c: cmp r0, #2 T > 
Ox2db7645e: bne 0x2db7647a £ 71- [CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 54 
Ox2db76460: movw r0, #19376 = T ~ 
0x2db76464: movt r0, #2535 

(114) p $r0 

(unsigned int) $29 = 

(118) ni 


Process 37477 stopped 
* thread #1: tid = 0x9265, 0х2407647е ChatKit "71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 58, queue = 'com.apple.main-thread, stc 


frame 40: Ox2db7647e ChatKit 71-[CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 58 
ChatKit" 71- [CKPendingConversation refreshStatusForAddresses:withCompletionBlock:] block invoke + 58: 
-> Ox2db7647e: tst.w rl, #255 T d 
Ox2db76482: movt r0, #2535 
0x2db76486: ада r0, pc 
0x2db76488: ldr кб, [r0] 
(1ldb) p $r1 
(unsigned int) $30 = 


据 源 B， 先 从 前 者 下 手 。 


数据 源 A 的 值 是 0， 十 二 重 数据 源 B 的 值 是 1。 接 下 来 把 火力 集中 在 IMCore 上 ， 继 续 寻 找 十 五 重 数据 源 A 和 十 


打印 结果 验证 了 分 析 结果 ， 且 十 


十 五 重 数据 源 A 已 经 直观 表现 在 了 图 10-40 中 。 


R6, [RO,#0xC] R6, [RO, #0xC] 
R1, #1 R1, #0 
loc_2903ED6A 


loc 2903ED6A 

LDR [SP, #0xA8+var_ 98] 
MOV R8 

STR [SP, #0xA8+var_A8] 
MOV R5 

BLX 


图 10-40 ”十 五 重 数据 源 A 


它 要 么 来 自 “MOVS R1,#1”， 要 么 来 自 “MOVS R1,#0”， 也 就 是 说 十 五 重 数据 源 的 值 要 么 是 9， 要么 是 1。 事 情 变 得 有 意思 起 来 了 .….… 


不 知道 大 家 有 没有 注意 到 ， 从 十 一 重 数据 源 A 开 始 ， 数 据 源 A 的 值 就 是 一 脉 相 承 的 ， 即 十 一 重 = 十 二 重 = 十 三 重 = 十 四 重 = 十 五 重 数据 源 A=0 或 1。 但 是 ， 我 们 之 前 分 析 的 伪 代 码 是 这 样 的 : 


— (BOOL) supportIMessage 


if (十 一 重 数据 源 A = 2 || 十 一 重 数据 源 B != 0) return YES; 
return NO; 


而 十 一 重 数据 源 A 的 值 非 0 即 1， 是 不 可 能 等 于 2 的 。 这 样 的 话 ， 数 据 源 A 已 经 没有 意义 了 ， 不 是 吗 ? 伪 代码 可 以 改 成 : 


- (BOOL) supportIMessage 


if (十 一 重 数据 源 B != 0) return YES; 
return NO; 


此 ， 可 以 把 重点 放 在 寻找 十 三 重 数据 源 B 上 来 ， 以 下 简称 十 三 重 数据 源 。 因 为 十 二 重 数据 源 B 是 R5， 所 以 十 三 重 数据 源 一 定 被 某 条 指令 写 入 R5 了 ， 对 吧 ? 单 击 R5，1DA 会 贴心 地 帮 我 们 将 其 标记 为 黄 
色 ， 方 便 从 大 量 的 汇编 代码 中 定位 R5。 继 续 逆 向 ， 看 看 R5 是 什么 时 候 被 写 入 的 。 


当 向 上 寻找 十 三 重 数 据 源 ， 跟 踪 到 loc_2903EAE0 时 ， 会 发 现 它 的 上 游 有 4 条 分 支 (如 图 10-41 所 示 ) 。 


loc_2903EAE0 "IMCore" 
MOVW RO, #(:lower16:(cfstr_Imcore - 0x2903EAEE)) 


MOVS #0 
MOVT.W #(:upper16:(cfstr_Imcore - 0x2903EAEE) ) 


PC ; "IMCore" 
_MarcoShouldLogMadridLevel 
RO, #0xFF 
loc_2903EB36 


图 10-41 loc 2903EAEO0 


在 图 10-41 中 ， 从 左 到 右 的 3 条 分 支 中 均 含 有 “MOVS R5,#0” 的 操作 ， 但 这 跟 R5=1 的 结果 是 矛盾 的 ， 因 此 loc_2903EAE0 一 定 是 经 由 最 右边 的 那 一 条 线路 到 达 的 ， 十 三 重 数据 源 就 位 于 这 条 线路 上 ， 顺 
着 这 条 线路 继续 向 上 寻找 R5 的 踪影 。 


跟踪 到 loc_2903EA3E 时 ， 出 现 的 情况 似曾相识 。 它 的 上 游 昌 然 有 3 条 分 支 ， 但 左 1 和 左 2 分 支 均 含 有 “MOVS R5,#0” 的 操作 (如 图 10-42 所 示 ) ， 因 此 可 以 直接 排除 。 


1ос_2903Е9В6 loc_2903EA3C 
MOVS R8, [SP, #0xA8+var_ 80] 


loc_2903EA3E 


. IMAlwaysLog 
loc 2903EA3E 


loc 2903EA3E 
CMP.W RB, 
BEQ 


图 10-42 loc 2903EA3E 


它 的 实际 上 游 是 左 3 分支 ， 即 loc_2903E9C4; 而 loc_2903E9C4 的 上 游 有 2 条 分 支 ， 其 中 均 含 有 “MOVS R5,#1” 的 操作 ， 那 么 进程 的 实际 执行 流程 是 从 这 2 条 分 支 中 的 哪 一 条 到 达 loc_2903E9C4 的 呢 ? 
重 输 地 址 ， 在 2 个 分 支 的 跳 转 处 各 下 一 个 断 点 ， 点 击 键盘 上 的 “return” ， 看 看 会 触发 哪个 断 点 ， 这 样 就 一 清二 楚 了 。 这 里 的 操作 流程 笔者 就 省 略 掉 了 ， 请 读者 独立 完成 ， 相 信 在 简单 的 操作 之 后 ， 你 也 会 发 


E 


现 ， 左 1 分 支 才 是 进程 实际 执行 的 流程 ， 即 图 10-43。 


R10, [SP,#0xA8t+var 84] 


R5, #1 
Rll, [SP,#0xA8tvar 88] 
loc 2903E9C4 


图 10-43” 左 1 分 支 


现在 ,找到 了 十 三 重 数据 源 ， 它 是 常量 |。 你 可 能 会 问 ， 十 三 重 数据 源 是 常量 的 话 ， 十 四 重 数据 源 还 存在 吗 ? 数据 源 的 线索 看 似 中 断 了 ， 下 一 步 该 怎么 办 ? BA! 


在 刚才 的 代码 中 ， 我 们 看 到 了 几 处 “MOVS R5,#0” 的 操作 ， 而 十 三 重 数据 源 来 自 “MOVS R5,#1”， 看 似 数据 源 是 常量 ， 但 按照 程序 设计 的 思想 ， 到 | 底 往 R5 里 写 0 还 是 写 1， 应 该 由 一 个 条 件 判断 来 决 
， 就 像 下 面 的 伪 代 码 : 


[uH 


if (iMessageIsAvailable) R5 = 1; 
else R5 = 0; 


用 熟悉 的 IDA 流 程 图 表示 ， 就 是 图 10-44 所 示 的 样子 。 


从 宏观 角度 来 讲 ， 其 实 这 个 条 件 判断 就 是 十 四 重 数据 源 ， 不 是 吗 ? 相信 你 也 反应 过 来 了 ， 上 面 的 伪 代 码 其 实 就 是 : 


R5 = iMessageIsAvailable; 


һгапсһ 


110-44 fSIDA LEE B] 


和 弄 清 了 这 个 概念 ， 接 下 来 的 任务 就 是 继续 回溯 ， 分 析 每 个 出 现 分 支 的 地 方 ， 如 果 它 的 不 同 分 支 会 往 R5 里 写 不 同 的 值 ， 就 要 搞 清楚 分 支 条 件 是 什么 ， 而 这 个 分 支 条 件 就 是 我 们 要 找 的 数据 源 。 到 图 10-45 
所 示 的 代码 段 里 去 看 看 。 


如 果 分 支 走 了 左边 ，R5 是 有 可 能 被 置 0 的 。 由 于 分 支 条 件 是 objc_msgSend 的 返回 值 ， 因 此 下 个 断 点 看 看 执行 的 到 底 是 什么 函数 ， 如 下 : 


(SP, #0xA8+var 9C] 
#0x10 

SP, #0xA8+var_7C 
[SP, #0xA8+var А8] 


R5 
SP, #OxAB+var 5C 
 objc msgSend 
R8, RO 
R8, #0 
loc 2903EBE2 


图 10-45 分 支 


Process 132234 stopped 
* thread #1: tid = 0x2048a, 0x331f092e ІМСоге` lldb unnamed function425$$1MCore + 266, queue = 'com.apple.main-thread, stop reason = breakpoint 5.1 
frame #0: 0x331f092e IMCore' lldb unnamed function425$$IMCore + 266 
IMCore' lldb unnamed function425$$IMCore + 266: 
-> 0x331f092e: blx 0x332603b0 ; symbol stub for: objc msgSend 
0x331f0932: mov r8, x0 = 
0x331f0934: cmp.w r8, #0 
0х331#0938: bne 0x331f08e2 . lldb unnamed function425$$IMCore + 190 
(1ldb) p (char *)$г1 
(char *) $6 = Ox2f7d81d9 "countByEnumeratingWithState:objects:count:" 
(1140) po $r0 
« NSArrayI 0x16706930>( 
mailto:snakeninny@gmail.com 
) 


可 以 看 到 ， 是 一 个 对 收 件 人 队列 的 遍历 函数 ， 如 果 收 件 人 队列 不 为 空 ， 分 支 就 会 走 右边 。 实 际 上 收 件 人 队列 肯定 不 会 为 空 ， 因 此 这 个 分 支 条 件 不 会 成 立 ， 类 似 于 已 弃 用 的 数据 源 A， 是 不 会 产生 分 支 
。 继 续 往 上 ， 和 寻找 上 一 个 分 支 发 生 的 地 方 ， 如 图 10-46 所 示 。 


在 图 10-46 中 ，R11 和 R8 各 是 什么 ? 在 IDA 里 可 以 很 直观 地 看 到 ，R11 来 自 图 10-47。 


R11, R11, #1 
R11, R8 
loc 2903EBE6 


loc 2903EBE2 
MOV. W 


图 10-47 loc_2903e8e2 


R11 的 初始 值 是 0， 每 次 在 执行 “CMP R11,R8” 之 前 ，R11 都 递增 1。 这 么 看 起 来 ，R11 充 当 了 计数 器 的 作用 。 “CMP” 执 行 了 减法 操作 ， 如 果 产 生 借 位 ， 则 将 Carry 置 0%， 否 则 Carry 置 1。 这 里 的 分 支 指 
令 是 “BCC”，“CC” 代表 “Carry Clear”， 也 就 是 Carry 位 为 0。 也 就 是 说 ， 如 果 R11-R8 产 生 借 位 ， 即 R8 大 于 R11， 则 分 支 走 右边 ， 否 则 走 左 边 。 我 们 看 看 R8 是 什么 ， 如 图 10-48 所 示 。 


R6, [RO] ; "countByEnumeratingWithState:objects:cou"... 
RO, #0x10 
RO, [SP, #0xA8+var_A8] 


RO, R5 
R1, R6 
_objc_msgSend 
R8, RO 


图 10-48 R82. 


R8 来 自 [NSArray countByEnumeratingWithState:objects:count:]. 


由 


输 地 址 ， 下 断 点 ， 点 击 “return，” 看 看 NSArray 是 什么 ， 如 下 : 


(114) br s -a 0x3023089C 
Breakpoint 2: where = IMCore^ lldb unnamed function425$$IMCore + 120, address = 0x3023089c 
Process 102482 stopped a Е ui 
* thread #1: tid = 0x19052, 0x3023089c ІМСоге` lldb unnamed function425$$IMCore + 120, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x3023089c IMCore'  lldb unnamed function425$$IMCore + 120 
IMCore' — lldb unnamed function425$$IMCore + 120: 
-> 0x3023089c: blx 0x302a03b0 ; symbol stub for: objc_msgSend 
0x302308a0: mov r8, тб Б 
0x302308a2: cmp.w r8, #0 
0x302308a6: beq.w 0х302309с2 ; | lldb unnamed function425$$IMCore + 414 
(1ldb) p (char *)$г1 
(char *) $5 = 0x2c8181d9 "countByEnumeratingWithState:objects:count:" 
(lldb) po $r0 
< NSArrayI 0x178d6b20>( 
mailto:snakeninny@gmail.com 
) 


Ий] 


NSArray 是 收 件 人 队列 ， 因 此 R8 是 收 件 人 个 数 ， 如 果 收 件 人 个 数 大 于 1， 在 第 一 次 执行 “CMP R11,R8” 时 R11 是 1， 则 R8 大 于 R11， 分 支 走 右边 ， 到 达 


10-49。 


RO, [SP,fOxAB*var 74] 
RO, [RO] 
RO, R10 


RO, R5 
_objc_enumerationMutation 
RO, [SP,#0xA8+var 78] 


Rl, R6 

R4, [RO,R11,LSLi2] 
RO, [SP,fOxAB*var 88] 
R2, R4 

_objc_msgSend 

RO, [SP,#0xA8+var 80] 
R2 ғ R4 

R1, [SP,fOxAB*var 94] 
_objc_msgSend 

R1, [SP,fOxAB*var 90] 
 objc msgSend 

RO, loc 2903E946 


图 10-49 ”分支 


loc 2903E8E6 的 分 支 条 件 是 R0， 如 果 RO= =0 则 走 左 边 ， 不 支持 iMessage; 否则 走 右 边 ， 到 达 图 10-50。 


图 10-50 的 分 支 条 件 仍 是 R0， 如 果 R0= =2 则 走 左边 ， 不 支持 iMessage; 否则 走 右边 ， 回 到 图 10-46。 这 3 段 代码 循环 没有 更 改 R8 的 值 ， 只 要 loc_2903E8E6 最 下 面 的 R01=0&&R0I=2， 图 10-46 的 分 支 就 
没有 意义 一 一 R11 一 直 递 增 ， 而 R8 不 变 ， 这 个 分 支 早晚 会 走 左 边 ， 得 出 支持 iMessage 的 结论 ， 也 就 是 说 ， 在 这 个 循环 里 ， 本 质 的 分 支 条 件 是 RO 的 值 。 还 记得 我 们 刚刚 得 出 的 结论 吗 “分 析 每 个 出 现 分 
支 的 地 方 ， 如 果 它 的 不 同 分 支 会 往 R5 里 写 不 同 的 值 ， 就 要 搞 清楚 分 支 条 件 是 什么 ， 而 这 个 分 支 条 件 就 是 我 们 要 找 的 数据 源 。” 一 一 RO 就 是 十 四 重 数据 源 。 


RO, #2 
loc 2903E9CA 


图 10-50 分支 


下 面 用 LLDB 看 看 这 里 的 几 个 objc_msgSend 都 是 什么 ，R0 是 怎么 来 的 ， 如 下 : 


Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f0900 IMCore` lldb unnamed function425$$IMCore + 220, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x331£0900 IMCore` 114Ь unnamed function425$$IMCore + 220 

IMCore' lldb unnamed function425$$1MCore + 220: 

-> 0x331f0900: blx 0x332603b0 ; symbol stub for: objc msgSend 
0x331£0904: ldr r0, [sp, #40] 
0x331f0906: mov r2, r4 
0x331f£0908: ldr rl, [sp, #20] 

(114) p (char *)$г1 

(char *) $7 = 0х2#70897а "removeObject:" 

(1140) po $r0 

< NSArrayM 0x170ec120>( 

mailto:snakeninny@gmail.com 

) 

(lldb) po $r2 

mailto:snakeninny@gmail.com 

(lldb) ni 


Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f090a ІМСоге` lldb unnamed function425$SIMCore + 230, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x331f090a ІМСоге` 114Ь unnamed function425$$IMCore + 230 

IMCore' lldb unnamed function425$$1IMCore + 230: 


-> 0x331f090a: blx 0x332603b0 ; Symbol stub for: objc msgSend 
0x331f090e: ldr rl, [sp, $24] 
0х331#0910: blx 0x332603b0 ; symbol stub for: objc msgSend 
0х331#0914: cbz r0, 0x331f0946 $ — . lldb unnamed function425$$IMCore + 290 


(114) p (char *)$r1 

(char *) $10 = 0x2f7d8113 "valueForKey:" 
(lldb) po $r2 
mailto:snakeninny@gmail.com 

(lldb) po $r0 

{ 


"mailto:snakeninny@gmail.com" = 1; 


} 
(114) po [Sr0 class] 
__NSCFDictionary 


(114) ni 


Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f0910 ІМСоге` lldb unnamed function425$$IMCore + 236, queue = 'com.apple.main-thread, stop reason = instruction step over 
frame #0: 0x331£0910 ІМСоге` 1140 unnamed function425$$IMCore + 236 

IMCore`_ 1190 unnamed function425$$IMCore + 236: 


-> 0x331f0910:  blx 0x332603b0 ; symbol stub for: objc msgSend 
0x331f0914: cbz r0, 0x331f0946 š ___1ldb_unnamed_function425$$IMCore + 290 
0х331#0916: стр r0, #2 
0х331#0918: beq 0x331f09ca ; | lldb unnamed function425$$IMCore + 422 


(1ldb) p (char *)$г1 

(char *) $14 = Ox2f7de6f3 "integerValue" 
(lldb) po $r0 
1 
( 


lldb) po [$r0 class] 
__NSCFNumber 


(114) c 


将 这 3 个 objc_msgSend 还 原 成 ObjC 函 数 ， 分 别 是 [NSArray removeObject:@ "mailto:snakeninny@gmail.com"]. [NSDictionary valueForKey: @"mailto:snakeninny@gmail.com"] 和 
[NSNumber integerValue]， 其 中 第 二 个 objc_msgSend 的 RO 值得 关注 ， 正 是 它 (NSDictionary) 中 包含 的 键 值 对 ， 决 定 了 十 四 重 数据 源 ; 因此 ， 这 个 NSDictionary 就 是 十 五 重 数据 源 。 由 图 10-49 可 知 ， 
它 来 自 于 [SP,#0xA8+var_80]， 因 此 [SP,#0xA8+var_80] 是 十 六 重 数据 源 。 接 下 来 的 套路 已 经 做 过 好 几 遍 了 : 把 光标 放 在 var 80 上 ， 然 后 按 下 “x” ， 看 看 它 的 交叉 引用 ， 如 图 10-51 所 示 。 


sub_2903E824+E 

sub_2903E824+E0 LDR 

sub_2903E824+178 LDR.W 

sub_2903E824:loc_2... LDR.W 

sub 2903EB24«1FC > LDR.W R8, [SP,#0xA8+var_80] 


图 10-51 查看 交叉 引用 


可 以 看 到 ， 只 有 一 处 指令 写 入 了 这 个 地 址 ， 双 击 这 条 指令 ， 直 接 跳 转 到 了 sub_2903E824 的 头 部 ， 如 图 10-52 所 示 。 


sub 2903E824 


-ОхАВ 
-ÜxAO 
-0x9c 
| -0x98 
-0x94 
-0x90 
-0x8C 
-0xB88 
-0x84 
-0x80 
-0x7C 
-0x78 
-0x74 
|o20x5C 
-OxlcC 


{R4-R7 ,LR} 

R7, SP, #0хС 
(R8,R10,R11) 

SP, SP, #0x90 

R5, R1 

R2, [SP,fOxA8tvar 98] 
R5, (SP,#0xA8+var_ 80] 
RO, [SP,#OxA8+var 8C] 


图 10-52 sub 2903E824 


十 六 重 数据 源 来 自 于 R5， 故 R5 是 十 七 重 数据 源 ; 十 七 重 数据 源 又 来 自 于 R1， 因 此 R1 是 十 八重 数据 源 ， 而 它 没有 被 赋值 就 直接 取 值 了 ， 说 明 R1 来 自 sub_2903E824 的 调用 者 ， 对 吧 ?” 看 看 它 的 交叉 引用 ， 
如 图 10-53 所 示 。 


xrefs to sub_2903E824 


(Е Up р _IMChatCalculateServiceForSendingNewCompose+2BE BL sub_2903E824 
ux Up o _IMChatCalculateServiceForSendingNewCompose+24A MOV RO, (sub . 
Up o _IMChatCalculateServiceForSendingNewCompose+25C ADD RO, PC ; sub _ 


图 10-53 查看 交叉 引用 
“为 发 送 新 的 信息 计算 服务 ”这 个 名 字 的 含义 已 经 很 明显 了 ， 双 击 第 一 条 交叉 引用 ， 去 它 的 显 式 调 用 者 那 耿 上 ， 如 图 10-54 所 示 。 


这 里 要 先 确认 一 下 sub_2903E824 的 调用 者 是 不 是 来 自 “IMChatCalculateServiceForSending-NewCompose” 一 一 清空 地 址 输入 框 ， 输 入 地 址 ， 在 sub_2903E824 的 第 一 条 指令 上 下 一 个 断 点 ， 点 击 
键盘 上 的 “return”， 触发 断 点 ， 如 下 : 


Process 154446 stopped 
* thread #1: tid = 0x25b4e, 0x331f0824 IMCore ` 1146 unnamed function425$$ IMCore, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0х331#0824 ТМСоге`__ lldb unnamed function425$$IMCore 
ІМСоге` 1146 unnamed function425$$IMCore: 
—> 0x331f0824: push (r4, r5, r6, r7, lr) 
0x331f0826: add r7, sp, #12 
0x331f0828: push.w (r8, r10, r11} 
0x331f082c: sub sp, #144 
(114) p/x $1r 
(unsigned int) $17 = 0x331f067b 
(11db) 


R6, [R9] ; "sharedInstance" 

RO, [R1] ; _OBJC CLASS $_IDSIDQueryController 

R1, R6 

_objc_msgSend 

R1, #(:lowerl6:(_IDSServiceNameiMessage ptr - 0x2903E64C)) 

R11, R4 
$(:upperl6:( IDSServiceNameiMessage ptr - 0x2903E64C)) 
$(:lowerl6:(selRef  currentIDStatusForDestinations service lis 
PC ; IDSServiceNameiMessage ptr 
$(:upperl6:(selRef  currentIDStatusForDestinations service lis 
[R1] 
PC ; selRef currentIDStatusForDestinations service listenerID 
$(:lowerl6:(cfstr kimchatservi - 0х2903Е662)) ; "__ 


[82] ; " currentIDStatusForDestinations:service"... 


#(:upperl6:(cfstr___kimchatservi -~ 0x2903E662)) ; " kIMChatSe 
R4 


PC ; " kIMChatServiceForSendingIDSQueryControllerListenerID" 

R10, [R3] 
R5, [SP,#0x64+var_64] 
R3, R10 
_objc_msgSend 

r RO 
RO, SP, #0x64+var_38 
R1, R5 
R2, #0 
R8, RO 
sub_2903E824 


图 10-54 sub_2903E824 的 调用 者 


这 里 的 ASLR 偏 移 是 0xa1b2000， 所 以 调用 者 的 实际 地 址 是 0x2903E67B， 正 是 来 自 “IMChatCalculateServiceForSendingNewCompose” 一 一 十 八重 数据 源 来 自 R5， 因 此 R5 是 十 九重 数据 源 ; 而 十 
九重 数据 源 来 自 objc_msgSend 的 返回 值 ， 故 而 该 返回 值 是 二 十 重 数据 源 。 万 事 俱 备 ， 只 欠 东 风 ， 我 们 看 看 这 个 神秘 的 objc_msgSend 到 底 做 了 些 什么 ， 如 下 : 


Process 154446 stopped 

* thread #1: tid = 0x25b4e，0x331f0668 IMCore`IMChatCalculateServiceForSendingNewCompose + 688, queue = 'com.apple.main-thread, stop reason = breakpoint 3.1 
frame #0: Ox331£0668 IMCore`IMChatCalculateServiceForSendingNewCompose + 688 

IMCore`IMChatCalculateServiceForSendingNewCompose + 688: 

—> 0x331f0668: blx 0x332603b0 ; symbol stub for: objc_msgSend 
0x331f066c: mov £5, жй 
0x331f066e: ада r0, sp, #44 
0x331f0670: mov Fl, t5 

(114) p (char *)$г1 

(char *) $18 = 0x33274340 "_currentIDStatusForDestinations:service:listenerID:" 

(1140) ро $r0 

<IDSIDQueryController: 0x15dcb010> 

(114) ро $12 

« NSArrayM 0х170е7900> ( 

mailto:snakeninny@gmail.com 

) 

(lldb) po $r3 

com.apple.madrid 

(118) po [$r3 class] 

__NSCFConstantString 

(Ildb) х/10 $sp 

0x001e4548: 0x3b3f52b8 0х001е459с 0x3b4227b4 0x3c01b05c 

0x001e4558: 0x00000001 0x00000000 0x170828d0 0х001е4594 

0x001e4568: Ox2baac821 0x00000000 

(1146) po 0x3b3£52b8 

. kIMChatServiceForSendingIDSQueryControllerListenerID 


(114) po [0x3b3f52b8 class] 
__NSCFConstantString 
(114) с 


钢 而 不 舍 ， 终 有 斩获 。 这 个 objc_msgSend 还 原 之 后 ， 是 [[IDSIDQueryController 
sharedInstance]_currentIDStatusForDestinations:@[@ "mailto:snakeninny@gmail.com"]service:@"com.apple.madrid"listenerID:@" __kIMChatServiceForSendinglDSQueryControllerListenerID" 


因为 后 两 个 参数 是 常量 ， 所 以 可 变 参数 只 有 第 一 个 数组 ， 也 就 是 收 件 人 数组 ， 我 们 终于 跟踪 到 了 原始 数据 源 ! 


笔者 知道 本 节 的 内 容 很 难 ， 你 可 能 已 经 被 绕 时 了 ， 但 行 百 里 者 半 九 十 ， 还 差 最 后 一 步 了 ， 打 起 精神 来 ! 


10.2.5 “还 原 原 始 数据 源 生成 placeholderText 的 过 程 


函数 都 被 我 们 找到 了 ， 狐 似 可 以 通过 更 改 第 一 个 NSArray 参 数 ， 来 达到 检测 任意 目标 地 址 是 否 支持 iMessage 的 效果 ， 只 要 它 的 返回 值 (NSDictionary) 中 key 所 对 应 的 value 非 0 且 非 2， 则 key 支 持 
iMessage， 否 则 key 仅 支持 SMS。 真 的 是 这 样 吗 ? 我 们 已 经 知道 ， 对 于 邮件 地 址 来 说 ， 参 数 格式 为 “mailto:” ， 那 电话 号 码 的 参数 格式 呢 ? 在 currentIDStatus-ForDestinations:service:listenerID: 上 下 个 
断 点 看 一 看 ， 如 下 : 


Process 102482 stopped 

* thread #1: tid = 0x19052, 0х30230668 IMCore`IMChatCalculateServiceForSendingNewCompose + 688, queue = 'com.apple.main-thread, stop reason = breakpoint 6.1 
frame #0: 0x30230668 IMCore'IMChatCalculateServiceForSendingNewCompose + 688 

IMCore'IMChatCalculateServiceForSendingNewCompose + 688: 

-> 0x30230668: blx 0x302a03b0 ; symbol stub for: objc_msgSend 
0x3023066c: mov r5, r0 = 
0x3023066e: add r0, sp, #44 
0x30230670: mov rl, r5 

(lldb) po $r2 

< NSArrayM 0x17820560>( 

tel:+86PhoneNumber 

) 


LLDB 和 debugserver 可 以 暂时 休息 一 下 了 。 回 到 Cycript 中 ， 实 际 验证 一 下 猜测 ， 如 下 : 


FunMaker-5:~ root# cycript -p MobileSMS 
cy# [[IDSIDQueryController sharedInstance] _currentIDStatusForDestinations:@[@"mailto:snakeninny@égmail.com", @"mailto:snakeninny@icloud.com", @"tel:bbs.iosre.com", @"mailto:bbs 


哈哈 ， 输 出 的 结果 再 清楚 不 过 了 ，2 个 支持 iMessage 的 邮箱 和 1 个 手机 号 均 返 回 了 1， 而 另 3 个 不 支持 iMessage 的 地 址 返回 了 2， 实 验 结果 验证 了 分 析 ， 而 且 还 知道 了 iMessage 的 内 部 称呼 
为 “Madrid”。 任 务 完成 , Л?! 


10.3 ”发 送 iMessage 


经 过 10.2 节 的 洗礼 ， 相 信 部 分 读者 会 产生 跟 笔 者 相同 的 感觉 : 一 步 一 步 用 LLDB 调 试 虽然 准确 严 谭 ， 但 工作 量 巨大 ， 容 易 让 人 感到 厌倦 。 逆 向 工程 就 是 要 勇于 试 错 ， 不 走 寻常 路 ， 用 跳跃 的 思维 和 大 胆 的 
猜想 来 达到 目的 。 本 节 就 会 采用 这 种 方式 一 一 尽量 少 地 使 用 LLDB， 尽 量 多 地 通过 |DA 和 class-dump 中 看 到 的 关键 词 ， 并 用 Cycript 配 合 联想 来 达到 发 送 iMessage 的 目的 。 


10.3.1 从 MobileSMS 界 面 元 素 寻 找 逆向 切入 点 


相对 于 检测 iMessage， 发 送 iMessage 的 切入 点 就 要 明显 得 多 ， 在 图 10-55 所 示 的 iOS 截 图 上 ， 这 个 大 大 的 “Send” 按钮 ， 不 就 是 苹果 送 给 我 们 的 大 礼 么 ? 
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New iMessage Cancel 


To: snakeninny@icloud.com 


iMessage | Send 


[5 me isn't 
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图 10-55 ARGS "Send" 


按 下 “Send”， 发 送 一 条 iMessage， 这 就 是 发 送 iMessage 最 直观 的 表现 。 跟 10.2 节 一 样 ， 先 想 想 怎么 把 这 个 现象 给 具象 化 成 逆向 工程 : 


"Send" 按钮 是 一 个 UIView， 具 体 地 说 ， 可 能 是 一 个 UIButton; 点 击 这 个 UIButton， 调 用 UIButton 的 响应 动作 ; 全 套 响 应 动作 包括 更 新 界面 、 发 送信 息 、 添 加 已 发 送 记 录 ， 等 等 ， 也 就 是 说 ， 发 送 
信息 的 操作 只 是 全 套 响 应 动作 的 子 集 。 


在 MobileSsMS 发 送 界面 中 ， 我 们 的 输入 只 有 收 件 人 地 址 和 信息 内 容 ， 它 们 是 原始 数据 源 。 因 为 可 以 拿 到 全 套 响应 动作 ， 而 发 送信 息 的 操作 一 定 要 以 原始 数据 源 为 参数 ， 所 以 可 以 根据 这 2 个 条 件 ， 在 全 
套 响 应 动作 里 筛选 出 发 送信 息 的 操作 。 与 上 节 的 终点 倒 推 起 点 不 同 ， 这 次 将 从 起 点 到 达 终点 ， 演 示 逆向 工程 的 另 一 种 思路 。 


总 结 一 下 ， 北 向 工程 的 思路 是 这 样 的: 先 用 Cycript 定 位 “Send” 按钮 的 响应 函数 ， 然 后 用 IDA 纵 览 全 套 响 应 动作 ， 结 合 LLDB 和 数据 源 ， 寻 找 可 疑 的 发 送 操作 。 


10.3.2 用 Cycript 找 出 “Send” 按钮 的 响应 函数 


因为 前 面 在 10.2 节 中 已 经 找到 了 “Send” 所 在 的 view 是 一 个 CKMessageEntryView， 所 以 这 里 就 可 以 直接 重复 10.2.2 节 的 分 析 思 路 ， 得 出 下 面 的 结果 : 


су# ?expand 

expand == true 

cy# [UIApp windows] 

@[#"<UIWindow: 0x14e12fa0; frame = (0 0; 320 568); gestureRecognizers = «NSArray: 0х14е11#50>; layer = <UIWindowLayer: 0x14ee4570>>", #"<UITextEffectsWindow: 0x14fa6000; frame = 
cy# [#0х14Ғаб000 subviews] 

@[#"<ULInputSetContainerView: 0x14d03930; frame = (0 0; 320 568); autoresize = WtH; layer = <CALayer: 0x14d03770>>"] 

cy# [#0x14d03930 subviews] 

@[#"<ULInputSetHostView: 0x14d033f0; frame = (0 250; 320 318); layer = <CALayer: 0x14d03290>>"] 

cy# [#0x14d033£0 subviews] 

@[#"<UIKBInputBackdropView: 0x160441a0; frame = (0 65; 320 253); userInteractionEnabled = NO; layer = <CALayer: 0x16043b60>>", #"<_UIKBCompatInputView: 0x14f78a20; frame = (0 65 
cy# [#0x160c6180 subviews] 

@[#"<_UIBackdropView: 0x16069d40; frame = (0 0; 320 65); opaque = NO; autoresize = WHH; userInteractionEnabled = NO; layer = <_UIBackdropViewLayer: 0x14d627c0>>",#"<UIView: 0х1 


其 中 ，“UIView: 0x16052920" 就 是 “iMessage” 所 在 的 view， 还 记得 吧 ? 那么 ， 紧 随 其 后 的 2 个 UIButton 就 显得 十 分 可 疑 了 ， 直 觉 告诉 笔者 ，“Send” 就 是 它 俩 其 中 之 一 。 同 时 我 们 注意 到 ， 第 
三 个 UIButton 的 hidden 属 性 是 YES， 也 就 是 说 这 个 按钮 是 隐藏 的 ， 那 么 可 见 的 “Send” 肯 定 就 是 “UIButton: 0x1605a8b0” 了 。 还 是 用 Cycript 来 确认 一 下 ， 如 下 : 


cy# [#0x1605a8b0 setHidden: YES] 


执行 之 后 ， 界 面 变 成 了 图 10-56 的 样子 : 
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IMessage 


me isn't 


QIWIEIRITIYIUIIIOIP 


р Ж и КЫҢ —  "— — — — ——  — 7 — — "— БАН аА 


Af[SIDIFIGIHIJIKIL 


Vu— — — — — сы чы ч” — —  —" "V 


2 хсувмм 


TIS 


图 10-56 隐藏 “Send” 


准确 无 误 。 按 下 这 个 UIButton 后 ， 发 送 一 条 iMessage; UIButton 与 其 点 击 之 后 的 动作 一 般 是 通过 addTarget:action:forControlEvents: 函 数 来 关联 的 ， 这 是 UIButton 的 父 类 UlControl 中 的 一 个 函数 。 
而 UIControl 类 本 身 就 提供 了 一 个 actionsForTarget:forControlEvent: 来 反 查 UIControl 对 象 的 动作 。 可 以 利用 这 个 函数 ， 来 看 看 按 下 “Send” 之 后 会 触发 什么 动作 ， 如 下 : 


Cy# [#0x1605a8b0 setHidden:NO] 

cy# button = #0x1605a8b0 

#"<UIButton: 0x1605a8b0; frame = (266 27; 53 33); hidden = YES; opaque = NO; layer = <CALayer: 0x16052a00>>" 

cy# [button allTargets] 

[NSSet setWithArray:@[#"<CKMessageEntryView: 0x160c6180; frame = (0 0; 320 65); opaque = NO; autoresize = W; layer = «CALayer: 0x16089920>>"]]] 
cy# [button allControlEvents] 

64 


cy# [button actionsForTarget:#0x160c6180 forControlEvent: 64] 
@["touchUpInsideSendButton:"] 


可 以 看 到 ， 触 发 的 函数 是 [CKMessageEntryView touchUplnsidesendButton:button]。 现 在 ， 转 战 到 IDA 和 LLDB 上 ， 看 看 这 个 函数 的 内 部 实现 。 


10.3.3 ”在 响应 函数 中 寻找 可 疑 的 发 送 操作 


[CKMessageEntryView touchUplnsidesendButton:button] 的 实现 很 简单 ， 如 图 10-57 所 示 。 


; CKMessageEntryView - (void)touchUpInsideSendButton: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[CKMessageEntryView touchUpInsideSendButton:] 
_ CKMessageEntryView touchUpInsideSendButton _ 
{R4,R7,LR} 
4, RO 


#(selRef_ delegate - 0x268BC7B6) ; selRef 
SP, #4 

selRef delegate 

; "delegate" 


#(: lowerl6: (selRef_messageEntryViewSendB 
R4 


#(:upperl6:(selRef_messageEntryViewSendB 
PC ; selRef messageEntryViewSendButtonHi 
[R1] ; "messageEntryViewSendButtonHit:" 

_objc_msgSend 

RO, #(selRef_updateEntryView - Ox268BC7DA) ; 

RO, PC ; selRef updateEntryView 

R1, [RO] ; "updateEntryView" 

RO, R4 

(R4 , R7 , LR) 

j  objc msgSend 

; End of function -[CKMessageEntryView touchUpInsideSendButtc 


图 10-57 [CKMessageEntryView touchUpInsideSendButton:button] 


先 [[self delegate]messageEntryViewSendButtonHit:self], 4/alself updateEntryView]。 看 名 字 就 知道 后 者 是 简单 地 更 新 视图 ， 那 发 送 的 动作 应 该 就 包含 在 前 者 内 。 下 面 先 用 Cycript 看 看 [self 
delegate] 是 什么 ， 如 下 : 


Cy# [#0x160c6180 delegate] 
#"<CKTranscriptController: 0х15537200>" 


在 IDA 中 前 往 [CKTranscriptController messageEntryViewSendButtonHit:CKMessageEntry View]。 这 个 函数 的 逻辑 比较 简单 ， 如 图 10-58 所 示 。 


图 10-58 [CK TranscriptController messageEntry ViewSendButtonHit:CK MessageEntry View] 


相信 你 用 肉眼 就 能 看 出 ， 实 际 的 发 送 操作 暗藏 在 [self sendComposition:[CKMessageEntry-View compositionWithAcceptedAutocorrection]] 中 。 接 下 来 在 Cycript 中 看 看 [self composition- 
WithAcceptedAutocorrection] 是 什么 : 


су# [#0х160с6180 compositionWithAcceptedAutocorrection] 
#"<CKComposition: 0x160b79d0> text:'iMessage {\п}' subject:' (null)'" 


它 是 一 个 CKComposition 对 象 ， 且 明明 白白 地 显示 了 要 发 送 的 标题 和 内 容 。 继 续 看 sendComposition: 的 内 部 实现 ， 如 图 10-59 所 示 。 


其 实现 很 复杂 ， 有 必要 在 到 LLDB 上 一 步 一 步调 试 之 前 ， 先 大 概 地 过 一 下 进程 流程 中 的 几 个 分 支 ， 看 看 其 逻辑 走向 。 先 来 到 loc_268D427C 中 ， 如 图 10-60 所 示 。 


#(selRef_hasContent - 0x268D4288) ; selRef_hasContent 
PC ; selRef_hasContent 


[RO] ; "hasContent" 
R8 
R5 

.objc msgSend 

RO, $OxFF 

loc 268D4350 


图 10-60 loc 268D427C 


如 果 “ 有 内 容 ” 就 走 右边 ， 我 们 发 送 的 内 容 是 “iMessage” ， 当 然 算是 “有 内 容 ”， 走 右边 ， 到 达 图 10-61。 


$(:lowerl6:(selRef nextMediaObjectToTrimInComposition  - 0x268D42A4)) 


R8 

#(:upperl6: (selRef_nextMediaObjectToTrimInComposition_ ~ 0x268D42A4)) 
; selRef nextMediaObjectToTrimInComposition _ 

; "nextMediaObjectToTrimInComposition:" 


, 


, 
loc 268D4366 


图 10-61 分 支 


“下 一 个 待 调整 的 媒体 对 象 ”? 难道 是 指 的 图 片 、 语 音 、 视 频 这 类 东西 ?我们 要 发 的 iMessage 是 纯 文字 ， 应 该 不 涉及 这 些 东 西 ， 走 右边 ， 到 达 图 10-62。 


RO F [R4 Fi R6 ] 
RO, #4 
loc 268D4602 


图 10-62 分 支 


ROZME? 回 到 sendComposition: 的 开始 部 分 ， 如 图 10-63 所 示 。 


RO 原来 是 self->_newRecipient， 在 Cycript 中 看 看 它 的 值 是 多 少 ， 如 下 : 


Cy# #0x15537200->_newRecipient 
1 


[R0] ; int _newRecipient:1; 


[R4,R6] 
#4 


图 10-63 зЁ КОЙ Я 


因此 “TST.W R0,#4” 的 结果 是 0， 走 右边 到 达 |oc_268D4604， 如 图 10-64 所 示 。 


loc_268D4604 


#(selRef_isSendingMessage - 0x268D4610) ; selRef isSendingMessage 
selRef isSendingMessage 
; "isSendingMessage" 


loc 268D47C6 


图 10-64 loc 26804604 


“正在 发 送信 息 ”? 按 下 “Send” 之 后 才 发 送信 息 ， 那 这 里 的 “正在 ” 指 的 是 按 下 “Send” 之 前 还 是 之 后 呢 ? 像 下 面 这 样 分 别 测试 一 下 好 了 : 


Cy# [#0x15537200 isSendingMessage] 
0 


然后 按 下 “Send”， 再 测 一 次 : 


Cy# [#0x15537200 isSendingMessage] 
0 


JL, FERT "Send" 之 前 还 是 之 后 ，[self isSendingMessage] 的 返回 值 都 是 0， 走 左边 那 条 路 ， 继 续 寻 找 下 一 个 分 支 ， 如 图 10-65 所 示 。 


loc_268D4636 
#(:lowerl6: (selRef_canSendToRecipients_alertIfUnable_ - 0х26804648)) 
R6 


#(:upper16:(selRef_canSendToRecipients_alertIfUnable_ - 0x268D4648)) 


[R4,R10] 
2с ; selRef_canSendToRecipients_alertIfUnable_ 
1 
[R1] ; “canSendToRecipients:alertIfUnable:" 
_objc_msgSend 
RO, #0xFF 
loc_268D47C6 


图 10-65 FH 


“能 发 送 给 收 件 人 吗 ? ”我 们 的 目标 地 址 是 一 个 有 效 的 iMessage 账 号 ， 当 然 能 了 ! 走 左边 ， 到 达 图 10-66。 


#0 

SP, #0x3C+var_38 
(SP, #0x3C+var_ 38] 
#(:lowerl6:(selRef_canSendComposition_error_ - 0x268D466E)) 
R8 


$(:upperl6:(selRef canSendComposition error - 0x268D466E)) 


[R4, R10] 
PC ; 
[81] ; "canSendComposition:error:" 

_objc_msgSend 

RO, #ОхРЕ 

loc_268D471E 


10-66 FH 


“能 发 送 写 好 的 内 容 吗 ?“ 


因为 刚才 都 已 经 把 CKComposition 的 内 容 打 印 出 来 了 ， 所 以 这 里 也 没 问题 ， 走 左边 ， 到 达 图 


10-67。 


selRef_canSendComposition_error_ 


#(:lowerl6: (selRef_setSendingMessage_ - 0x268D4686)) 


#1 


#(:upperl6:(selRef_setSendingMessage_ ~ 0x268D4686)) 


РС; 
R10, [RO] 
RO, в4 


, 


"setSendingMessage:" 


R1, R10 
_objc_msgSend 
RO, R8 

R1, R5 
_objc_msgSend 
RO, fOxFF 
loc_268D47CE 


图 10-67 分 支 


这 里 又 是 一 个 分 支 。 往 上 看 看 ， 就 可 以 在 图 10-60 中 找到 R5 的 值 ， 可 见 ， 这 里 要 再 次 判断 发 送 的 信息 是 否 “ 有 内 容 ” 了 。 走 右边 ， 到 达 


图 10-68 这 张 图 


selRef_setSendingMessage_ 


110-68, 


的 信息 量 略 大 ， 但 仔细 看 看 ， 你 就 会 发 现 前 面 做 的 一 系列 动作 都 是 UI 层 面 的 刷新 操作 ， 只 有 最 后 一 个 sendMessage: 十 分 可 疑 。 这 个 函数 的 参数 是 什么 ” 往 上 回溯 ， 可 以 看 到 其 实 就 是 


图 


[self sendComposition:] 的 参数 ， 即 一 个 CKComposition 对 象 。 继 续 分 析 [CKTranscriptController sendMessage:] 的 实现 ， 如 


这 个 函数 的 流程 看 起 来 分 支 众多 ， 但 在 浏览 一 遍 (思路 跟 浏览 sendComposition: 时 一 样 ) 后 就 会 发 现 ， 分 支 里 都 只 是 做 了 一 些 准备 工作 ， 


信息 的 地 方 。 去 它 的 实现 里 看 看 ， 如 图 10-70 所 示 。 


这 里 的 逻辑 略 纠结 。 按 照 上 面 描述 过 的 思路 ， 大 致 浏览 一 遍 。 相 信 你 在 浏览 关键 词 的 时 候 ， 也 会 同 笔者 一 样 注意 到 “sendMessage:ne 
深 色 方块 。 


下 面 来 看 看 这 个 函数 的 实现 ， 如 图 10-72 所 示 。 


10-69 所 示 。 


”startCreatingNewMessageForSending:” 才 是 可 能 发 出 


wComposition:”， 且 它 一 共 出 现 了 2 次 ， 即 图 10-71 所 示 的 2 个 


#(selRef_activeKeyboard - 0x268D46B4) ; selRef_activeKeyboard 
#(classRef_UIKeyboard - 0x268D46B6) ; classRef UIKeyboard 
PC ; selRef_activeKeyboard 
PC ; classRef UIKeyboard 
[RO] ; "activeKeyboard" 
[R2] ; OBJC CLASS $ UIKeyboard 
_objc_msgSend 
R1, #(selRef_removeAutocorrectPrompt - 0x268D46C8) ; selRef removeAutocorrectPrompt 
R1, PC ; selRef removeAutocorrectPrompt 
R1, [R1] ; "removeAutocorrectPrompt" 
_objc_msgSend 
RO, R4 
R1, R11 
_objc_msgSend 
R1, #(selRef_view - 0x268D46E0) ; selRef_view 
R1, PC ; selRef view 
R1, [R1] ; "view" 
_objc_msgSend 
- (: lowerl6: (selRef_setUserInteractionEnabled_ - 0x268D46F2)) 
0 
#(:upper16:(selRef_setUserInteractionEnabled_  - 0x268D46F2)) 
PC ; selRef setUserInteractionEnabled 
[R1] ; "setUserInteractionEnabled:" 
_objc_msgSend 
RO, #(selRef_updateNavigationButtons - 0x268D4702) ; selRef_updateNavigationButtons 
RO, PC ; selRef_updateNavigationButtons 
; "updateNavigationButtons" 


_objc_msgSend 
RO, #(:lowerl6:(selRef_sendMessage_ ~ 0x268D4716)) 
R8 


#(:upper16:(selRef_sendMessage_ - 0x268D4716)) 
PC ; selRef_sendMessage_ 

[RO] ; "sendMessage:" 

R4 


loc 268D47C6 


10-68 分支 


25] 


10-69 [CK TranscriptControllersendMessage:] 
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图 10-71 [CKTranscriptController_startCreatingNewMessageForSending:] 


图 10-72 [CKConversation sendMessage:newComposition:] 


调用 了 “sendMessage:onService:newComposition:”， 继 续 跟 过 去 ， 如 图 10-73 所 示 。 


图 10-7 


流程 比较 简洁 ， 大 致 浏览 一 下 ， 就 会 看 到 诸如 “Sending message with 
数 一 一 都 已 经 开始 记录 这 些 字眼 了 ， 不 恰恰 说 明正 在 发 生 “ 发 送信 息 ” 这 件 导 


3 [CKConversation sendMessage:onService:newComposition:] 


guid: %@” , 


ЕЩ? 进一步， 在 


=>Sending account: %@”、“=>Recipients: [%@]” 等 的 字眼 ，| 


10-74 中 又 看 到 了 可 疑 的 字眼 “sendMessage:”。 


目 它们 大 都 是 _CKLogExternal 的 参 


#(:lower16:(selRef_sendMessage_ - 0x2691F844)) 
R6 


$(:upperl6:(selRef sendMessage - 0x2691F844)) 
PC ; selRef_sendMessage_ 

[RO] ; "sendMessage:" 

R5 


_objc_msgSend 

RO, #(selRef__recordRecentContact - 0x2691F856) ; selRef__recordRecentContact 
RO, PC ; selRef recordRecentContact 

R1, [RO] ; " recordRecentContact" 

RO, R10 

_objc_msgSend 


410-74 loc 2691f836 


它 的 调用 者 和 参数 是 什么 ”还 是 直接 用 IDA 把 它们 给 找 出 来 。 先 看 调用 者 RO0， 它 来 自 R5。R5 又 来 自 哪里 呢 》 往 上 走 ， 往 上 走 ， 到 loc_2691F726 处 ， 如 图 10-75 所 示 。 


RO, #0x12 
__CKShouldLogExternal 
R8, [SP,ftOxA4*var 90] 
RO, $OxFF 

R10, [SP,fOxA4*var 94] 
R5, [SP,#0xA4+var 98] 
loc 2691F74E 


图 10-75 loc 2691f726 


其 中 ，“LDR RS5,[SP,#0xA4+var_98]” 决 定 了 R5 的 值 ， 那 [SP,#0xA4+var_98] 是 什么 呢 ? 还 记得 在 10.2 节 中 是 如 何 处 理 这 类 问题 的 吗 ? 把 光标 放 在 var_98 上 ， 然 后 按 下 “x”， 查 看 其 交叉 引用 ， 如 图 
10-76 所 示 。 


| Е: Up м -[CKConversation se... STR RO, [SP,#0xA4+var_98] 
-[CKConversation se... LDR R5, [SP,40xA4+var_98] 


| Help Search Cancel E «и 


81076 ”查看 交叉 引用 


双击 第 一 条 交叉 引用 ， 跳 转 至 “STR RO, [SP,#0xA4+var_98]" , ROSEE[R6 chat]。R6 在 [CKConversation sendMessage:onService:newComposition:] 的 开始 部 分 第 一 次 出 现 ， 很 明显 是 self， 所 
以 “sendMessage:” 的 调用 者 是 [self chat]。 接 着 回 到 图 10-74 中 ， 可 看 到 它 的 参数 R2 来 自 R6。 往 上 拉 一 点 ， 可 以 看 到 R6 来 自 loc_2691F6F4 中 的 “LDR R6,[SP,#0xA4+var_80]”， 如 图 10-77 所 示 。 


loc 2691F6F4 


RO F #0x 12 
__CKShouldLogExternal 
R6, [SP,fOxA4*var 80] 
RO, #OxFF 

loc 2691F726 


图 10-77 loc, 2691f6f4 


接 下 来 该 怎么 办 ? 我 们 在 1 分 钟 前 刚 完成 了 一 次 类 似 的 操作 ， 这 里 就 不 再 用 文字 描述 了 ， 只 用 几 张 图 片 (如 图 10-78 至 图 10-80 所 示 ) 作为 小 提示 ， 由 读者 自己 来 完成 这 个 操作 。 


ө oe Ы: xrefs to var. 80 


КЕ Up w -[CKConversation se... STR R5, [SP,#0xA4+var_80] 
ux Up r -[CKConversation se... LDR 
[к r -[CKConversation se... LDR 


Help 


R6, [SP, #0xA4+var 80] 
RO, #OxFF 
loc_2691F726 


图 10-78 查看 交叉 引用 


[SP, #0xA4+var 90] 
#(selRef chat - Ox2691F618) ; selRef_chat 
[SP, #0xA4+var_ 94] 
PC ; selRef_chat 


[SP,fOxA4*var 98] 


$(selRef account - 0x2691F62C) ; selRef account 
PC ; selRef account 
[R1] ; "account" 
[SP,fOxA4*var 9C] 

_objc_msgSend 

RO, [SP,#0xA4+var 84] 
#(:lower16:(selRef_fileTransferGUIDs - 0x2691F64C) ) 
SP, #0xA4+var_7C 
aaa cum ZR CE - 0x2691F64C)) 
0 


[SP, fOxA4*var 80] 
R6, #0х10 


图 10-79 = [CKConversation setChat:] 


; void _ cdecl -[CKConversation sendMessage:onService:newComposition:] 
. CKConversation sendMessage onService newComposition 


-O0xA4 
-0xAO 
-0x9C 
-0x98 
-0x94 
-0x90 
-0x8C 
-0x88 
-0x84 
-0x80 
-0x7C 
-0x78 
-0x74 
-0x5C 
-Oxic 


(R4-R7,LR) 
R7, SP, #0xC 
(R8,R10,R11) 
SP, SP, #0x8C 
RO 
. Stack chk guard ptr - 0x2691F5B2) ; _ stack 


; stack chk guard ptr 


图 10-80 [CKConversation sendMessage:onService:newComposition:] 


所 以 [[self chatJsendMessage:] 的 参数 与 [self sendMessage:onService:newComposition:] 的 第 一 个 参数 一 脉 相 承 。 那 么 [self chat] 是 什么 类 型 ， 参 数 又 是 什么 类 型 呢 ? 在 上 面 的 静态 分 析 中 ， 我 们 并 
没有 在 IDA 中 找到 什么 明显 的 线索 ， 因 此 ， 是 时 候 让 LLDB 出 来 热 热 身 了 。 


先 编写 一 条 iMessage， 然 后 在 [CKConversation sendMessage:onService:newComposition:] 尾 部 “sendMessage:” 下 方 的 那个 objc_msgSend 上 下 个 断 点 ， 接 着 按 下 “Send”， 触 发 断 点 ， 如 下 : 


Process 233590 stopped 

* thread #1: tid = 0x39076, 0x30ad1846 ChatKit'-[CKConversation sendMessage:onService:newComposition:] + 686, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x30ad1846 ChatKit'-[CKConversation sendMessage:onService:newComposition:] + 686 

ChatKit'-[CKConversation sendMessage:onService:newComposition:] + 686: 

-> 0x30ad1846: blx 0x30b3bf44 ; symbol stub for: MarcoShouldLogMadridLevel$shim 


0x30adi84a: movw r0, #49322 
0x30adi84e: тоу r0, #2541 
0х30аа1852: add r0, pc 

(1ldb) p (char *)$г1 

(char *) $0 = 0x32b26146 "sendMessage:" 


(114) po $r0 

<IMChat 0Ox5ef2ce0» [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBBB22 
(114) ро $12 

ІММеѕѕаде [from= (null); msg-subject=(null); account: (null); flags=100005; subject-'«« Message Not Loggable >>' text-'«« Message Not Loggable >>' messageID: 0 GUID:'966C2CD6-371C 
(lldb) ni 


结果 不 能 再 明显 了 ，[IMChat sendMessage:IMMessage] 就 是 我 们 要 找 的 答案 。 注 意 ， 笔 者 在 打印 完 所 有 需要 的 信息 后 执行 了 “ni” 命 令 ， 然 后 听 到 iPhone 发 出 了 一 个 熟悉 的 “信息 已 发 送 ” 的 提示 
音 。 这 从 侧面 说 明 ， 实 际 的 发 送 操 作 正 是 在 [IMChat sendMessage:IMMessage] 内 完成 的 。 因 为 IMChat 和 1IMMessage 的 前 缀 均 为 IM ， 所 以 它们 来 自 ChatKit 以 外 的 库 ，ChatKit 所 提供 的 最 底层 的 发 送信 
息 函 数 到 [CKConversation sendMessage:onService:newComposition:] 为 止 。 此 时 ， 可 以 肯定 ， 只 要 能 够 构造 我 们 自己 的 IMChat 和 |IMMessage， 就 可 以 实现 发 送 iMessage 的 功能 了 。 那 么 问题 来 了 ， 
怎么 构造 这 2 个 类 的 对 象 呢 ? 化 繁 为 简 ， 在 class-dump 的 头 文件 里 找 找 看 有 没有 线索 。 


要 构造 IMChat 和 1IMMessage， 就 先 看 看 它们 的 头 文件 里 有 没有 什么 明显 的 构造 方法 。 先 打开 IMChat.h， 看 看 有 没有 包含 “init ”字眼 的 关键 词 ， 如 下 : 


- (id) initWithDictionaryRepresentation: (id)argl items: (id)arg2 participantsHint: (id)arg3 accountHint: (id)arg4; 
- (id)init; 
- (id) initWithGUID: (id)argl account: (id)arg2 style: (unsigned char)arg3 roomName: (id)arg4 displayName: (id)arg5 items: (id)arg6 participants: (id)arg7; 


上 面 的 代码 中 参数 众多 ， 如 何 一 个 个 构造 它们 ， 我 们 一 点 头绪 都 没有 。 那 接 下 来 该 怎么 办 呢 ? 


还 记得 是 如 何 找到 “sendMessage:” 调 用 者 的 吗 ? 对 了 ， 使 用 [self chat] 一 一 self 是 一 个 CKConversation 对 象 ， 看 看 [CKConversation chat] 是 怎么 来 的 ， 不 就 知道 IMChat 是 如 何 生成 的 了 吗 ? EIDA 
里 定位 到 [CKConversation chat]， 如 图 10-81 所 示 。 


CKConversation - (id)chat 


; id __саес1 -[CKConversation chat] (struct CKConversation *self, SEL) 
. CKConversation chat 


R1, #( OBJC IVAR $ CKConversation. chat - 0x26920778) ; IMChat * chat; 
R1, PC ; IMChat * chat; 
R1, [R1] ; IMChat * chat; 
RO, [RO,R1] 
LR 
End of function -[CKConversation chat] 


图 10-81 [CKConversation chat] 


[CKConversation chat] 就 是 实例 变量 chat 的 值 ， 这 个 场景 似曾相识 啊 一 一 还 记得 大 明湖 畔 的 夏 雨 荷 ， 哦 不 ， 是 图 10-22 里 的 composeSendingServicell3? 此 处 的 想法 与 操作 与 那里 完全 一 致 ，LLDB 
又 要 在 逆向 推导 中 派 上 大 用 场 了 ! 删 掉 已 发 送 的 iMessage 对 话 ( 即 删 掉 这 个 CKConversation) ， 新 建 一 条 iMessage (新 建 一 条 CKConversation) ， 然 后 在 [CKConversation setChat:] 上 下 一 个 断 点 ， 点 
击 “Send”， 触 发 断 点 ， 如 下 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x30ad277c ChatKit'-[CKConversation setChat:], queue = 'com.apple.main-thread, stop reason = breakpoint 13.1 
frame #0: 0x30ad277c ChatKit'-[CKConversation setChat:] 
ChatKit'-[CKConversation setChat:]: 
-> 0x30ad277c: movw r3, #55168 
0x30ad2780: тоу r3, #2541 
0x30ad2784: add r3, pc 
0x30ad2786: ldr r3, [r3] 
(1140) po $r2 
<IMChat 0x1594f7e0» [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBBB2 
(lldb) p/x $1r 
(unsigned int) $20 = 0x30acf625 


LR 偏 移 前 的 值 是 0x30acf625-0xa1b2000=0x2691d625， 这 个 地 址 位 于 [CKConversation initWithChat:]}, +$, [CKConversation initWithChat:] 的 调用 者 又 是 谁 呢 ? 如 法 炮制 (注意 ， 每 次 下 断 
点 前 都 要 删 掉 已 发 送 的 iMessage 对 话 ， 再 新 建 一 条 iMessage， 下 同 ) : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, Ox30acf5ec ChatKit'-[CKConversation initWithChat:], queue = 'com.apple.main-thread, stop reason = breakpoint 14.1 
frame #0: 0x30acf5ec ChatKit`-[CKConversation initWithChat:] 
ChatKit`-[CKConversation initWithChat:]: 
-> 0x30acf5ec: push {r4, r5, r6, r7, lr] 
0x30acf5ee: add r7, sp, #12 
0x30acf5f0: push.w (r8, r10, r11} 
0x30acf5f4: sub sp, #8 
(lldb) po $r2 
<IMChat 0х1470а520> [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBBB22363 
(lldb) p/x $lr 
(unsigned int) $22 = 0x30a8d131 


LR 偏 移 前 的 值 是 0x30a8d131-0xa1b2000=0x268db131， 这 个 地 址 位 于 [CKConversationList_beginTrackingConversationWithChat:] 中 。 继 续 : 


Process 248623 stopped 
* thread #1: tid = 0x3cb2f，0x30a8d09c ChatKit'-[CKConversationList _beginTrackingConversationWithChat:], queue = 'com.apple.main-thread, stop reason = breakpoint 15.1 
frame #0: 0x30a8d09c ChatKit'-[CKConversationList beginTrackingConversationWithChat:] 
ChatKit'-[CKConversationList beginTrackingConversationWithChat:]: 
-> 0x30a8d09c: push (r4, r5, r6, r7, lr} 
0x30a8d09e: тоу r5, r0 
0x30a8d0a0: movs r0, $25 
0x30a8d0a2: add r7, sp, #12 
(1140) po $r2 
<IMChat 0x15a326a0» [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBBB2 
(lldb) p/x $1r 
(unsigned int) $24 = 0х30а8а4#1 


LR 偏 移 前 的 值 是 0x30a8d4f1-0xa1b2000=0x268db131， 这 个 地 址 位 于 [CKConversationList_handleRegistryDidRegisterChatNotification:] 中 ， 且 这 里 的 IMChat 对 象 来 自 于 [notification object]. 


因为 这 里 的 IMChat 对 象 是 通过 notification 传 播 的 ， 所 以 下 一 个 目标 不 是 找到 [CKConversationList_handleRegistryDidRegisterChatNotification:] 的 调用 者 ， 而 是 找到 这 条 notification 的 发 布 者 , 它 才 


是 “罪魁 褐 首 ”。 在 这 个 函数 的 第 一 条 指令 上 下 一 个 断 点 ， 看 看 这 条 notification 的 结构 ， 如 下 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x30a8d4ac ChatKit`-[CKConversationList _handleRegistryDidRegisterChatNotification:], queue = 'com.apple.main-thread, stop reason = breakpoint 16.1 
frame #0: 0x30a8d4ac ChatKit'-[CKConversationList _handleRegistryDidRegisterChatNotification: ] 
ChatKit'-[CKConversationList _handleRegistryDidRegisterChatNotification:]: 
-> 0x30a8d4ac: push (r4, r5, r6, r7, lr) 
0x30a8d4ae: add r7, sp, #12 
0x30a8d4b0: push.w (r8, r10, r11} 
0x30a8d4b4: sub.w r4, sp, #64 
(1140) po $r2 
NSConcreteNotification 0x15934340 {name = _ kIMChatRegistryDidRegisterChatNotification; object = «IMChat 0x147c39f0> [Identifier: snakeninny@icloud.com GUID: iMessage;-;snake 


这 条 notification 的 Name 是 “_kIMChatRegistryDidRegisterChatNotification”，object 是 一 个 IMChat 对 象 ， 因 此 这 个 IMChat 对 象 一 定 是 在 发 布 (post) 这 条 notification 之 前 就 已 经 生成 了 。 要 
找 出 这 条 notification 的 发 布 者 ， 最 好 的 方法 ， 就 是 执行 grep 命 令 搜 索 一 遍 系 统 文件 ， 看 看 “_kIMChatRegistryDidRegisterChatNotification” 的 关键 字 都 会 在 哪些 文件 里 出 现 ， 如 下 : 


FunMaker-5:~ root# grep -r handleRegistryDidRegisterChatNotification: /System/ 

Binary file /System/Library/Caches/com.apple.dyld/dyld shared cache armv7s matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs-to-override-cache: No such file or directory 

grep: /System/Library/Frameworks/CoreGraphics.framework/Resources/libCGCorePDF.dylib: No such file or directory 
grep: /System/Library/Frameworks/CoreGraphics.framework/Resources/libCMSBuiltin.dylib: No such file or directory 
grep: /System/Library/Frameworks/CoreGraphics.framework/Resources/libCMaps.dylib: No such file or directory 
grep: /System/Library/Frameworks/System.framework/System: No such file or directory 


因为 它 在 cache 里 ， 所 以 下 面 grep 一 遍 decache 出 的 文件 ， 如 下 : 


snakeninnys-MacBook:- snakeninny$ grep -r _ kIMChatRegistryDidRegisterChatNotification /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/ 

Binary file /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//dyld shared cache armv7s matches 

grep: /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System/Library/Caches/com.apple.xpc/sdk.dylib: Too many levels of symbolic links 

grep: /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System/Library/Frameworks/OpenGLES.framework/libLIVMContainer.dylib: Too many levels of symbolic links 
Binary file /Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System/Library/PrivateFrameworks/IMCore.framework/IMCore matches 


其 实 到 这 里 ， 相 信 你 也 能 猜 到 ，1IMCore 与 ChatKit 都 负责 与 信息 相关 的 操作 ， 但 IMCore 比 ChatKit 更 底层 ，ChatKit 接 到 的 命令 都 交 给 IMCore 完 成 ，IMCore 完 成 的 结果 再 交 给 ChatKkit 展 示 给 用 户 一 一 
MobileSMS 是 餐馆 ，Chatkit 是 服务 员 ，1MCore 是 厨师 ， 这 么 比喻 ， 就 好 理解 多 了 吧 。 


接 下 来 ， 在 IDA 中 打开 IMCore， 全 文 搜索 “_kIMChatRegistryDidRegisterChatNotifi-cation”， 如 图 10-82 所 示 。 


Address Function 
__text:2908426A JIMChatRegistry _registerChatDictionary:forChat:islncoming:newGUID:] 
. text:29084278 -[IMChatRegistry _registerChatDictionary -forChat:isincoming:newGUID:] 


__cstring:290BABE2 
. const:31241FDO 
.. cfstring:312472EB 


10-82 #ÆIDAZ Ж “__kIMChatRegistryDidRegisterChatNotification” 


很 好 ， 直 接 双 击 第 一 条 搜索 结果 ， 看 看 它 的 上 下 文 ， 如 图 10-83 所 示 。 


看 到 “PostNotification” 字 眼 ， 我 们 就 知道 了 ，ChatKkit 收 到 的 那 条 notification 正 是 来 自 于 此 。1M Chat 对 象 是 第 二 个 参数 ， 即 R3， 而 R3 来 自 [SP,#0x98+var_60]。 还 记得 怎么 操作 吗 ” 还 是 以 提示 图 
(如 图 10-84 与 图 10-85 所 示 ) 代替 文字 ， 请 读者 自己 来 摸索 着 操作 吧 。 


loc 2908423E 
#(selRef defaultCenter - 0x29084252) ; selRef_defaultCenter 
#(classRef NSNotificationCenter - 0х29084254) ; classRef NSNot 
PC ; selRef_defaultCenter 
classRef NSNotificationCenter 
; "defaultCenter" 
; _OBJC CLASS $ NSNotificationCenter 


(SP, #0x98+var 48] 
_objc_msgSend 
R1 


&(:lowerl6:(selRef ^ mainThreadPostNotificationName object use 
#2 
#(:upper16:(selRef 


__ mainThreadPostNotificationName_ object use 
(SP, #0x98+var_60] 
#(cfstr___kimchatregis - 0x2908427C) ; " kIMChatRegistryDidRe 
PC ; selRef___mainThreadPostNotificationName_object_userInfo_ 
(SP, #0x98+var_ 50] 
[R1] ; " mainThreadPostNotificationName:object"... 
PC ; " kIMChatRegistryDidRegisterChatNotification" 
[SP,fO0x98-*var 48] 
(SP, #0x98+var_ 98] 

_objc_msgSend 


图 10-83 查看 搜索 结果 


Тур Address 

w -[IMChatRegistry _re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 
-[IMChatRegistry re... 


- 


= —% — —% оч —% —% —% —% —% —% —% —% оса + аа 


图 10-84 查看 交叉 引用 


55] xrefs to var_60 


АЗ, [SP,#0x98+var_60] 
RO, [SP,#0x98+var_60] 
R5, [SP,#0x98+var_60] 
R0, [SP,#0x98+var_60] 
R8, [SP,#0x98+var_60] 
АЗ, [SP,#0x98+var_60] 
R1, [SP,Z0x98-var 60] 
ВЗ, [SP .#0x98+var_60] 
RO, [SP .#0x98+var_60] 
RO, [SP #0x98+var_60] 
RO, [SP .#0x98+var_60] 
R2, [SP #0x98+var_60] 
R4, [SP.Z0x98--var 60] 
R4, [SP,f0x98--var 60] 
R2, [SP,f0x98--var 60] 
R4, (SP,#0x98+var_60] 
R2, [SP,f0x98--var 60] 
R2, [SP,f0x98--var 60] 
АЗ, [SP,f0x98--var 60] 
RO, [SP.Z0x98--var 60] 


通过 上 面 的 分 析 可 知 ，IMChat 对 象 来 自 于 [IMChatRegistry_registerChatDictionary:forChat:isIncoming:newGUID:] 的 第 二 个 参数 。 这 个 函数 的 调用 者 如 下 : 


Process ent topped 
* re 


n 
fr rame $0: 0x и 1196 unname ed fu function2048$$1MCore 
ES lldb unnamed : tonctiondBIESSiEore: 
—> 0x33235944: os sh (r4, r5, r6, r7, lr} 
Ox: add E sp, #12 
w 


О E. 
<IMChat 0х147с7#30> [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snaken: 
p/x $ 


x $1r 
(unsigned int) $27 = 0x3323646f 


tid = 0x3 т ы Ев ІМСоге` unnamed function2048$$1MCore, queue = 'com.apple.main-thread, stop reason reakpoint 1 


inny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBBB22363 


; void _ cdecl -[IMChatRegistry  registerChatDictionary:forChat:isIncoming:newGUID:] 
..AMChatRegistry  registerChatDictionary forChat isIncoming newGUID _ 


-0x98 
-0x94 
-0x90 
-0x70 
-0x6C 
-0x68 
-0x64 
-0x60 
-0x5C 
-0x58 
-0x54 
-0x50 
-0х4С 
-0x48 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x18 
8 

OxC 


{R4-R7,LR} 

R7, SP, #0xC 

{R8,R10,R11} 

R4, SP, #0x40 

Ка, R4, #0xF 

SP, R4 

(D8-D11), [R4@128]! 

(D12-D15), [84@128] 
SP, #0x80 
f(selRef shouldRegisterChat - 0x29083972) ; selRef shouldRegis 
[SP, fOx98*var 60] 


图 10-85 [I[MChatRegistry_registerChatDictionary:forChat:isIncoming:newGUID:] 


LR 偏 移 前 的 值 是 0x3323646f-0xa1b2000=0x2908446F， 这 个 地 址 位 于 [IMChatRegistry_registerChat:isIncoming:guid:] 中 。 继 续 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x3323644c IMCore` lldb unnamed function2049$$1MCore, queue = 'com.apple.main-thread, stop reason = breakpoint 20.1 
frame #0: 0x3323644c ІМСоге  1lldb unnamed function2049$$1MCore 
IMCore' 1lldb unnamed function2049$$1MCore: ` 
-> 0x3323644c: push (r4, r5, r7, lr) 
0x3323644e: aad r7, sp, #8 
0x33236450: sub sp, #8 
0x33236452: movw rl, $9840 
(lldb) po $r2 
<IMChat 0x15972f20» [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBBB22363 
(lldb) p/x $1r 
(unsigned int) $30 = 0x33237173 


LR 偏 移 前 的 值 是 0x33237173-0xa1b2000=0x29085173， 这 个 地 址 位 于 [IMChatRegistry chatForIMHandle:] 中 ， 且 [IMChatRegistry_registerChat:isIncoming:guid:] 的 第 一 个 参数 ， 即 IMChat 对 象 
来 自 于 R5， 在 [IMChatRegistry chatForIMHandle:] 的 最 后 阶段 ，R5 是 以 返回 值 的 形象 出 现 的 。 也 就 是 说 ，[IMChatRegistry chatForIMHandle:] 这 个 函数 返回 了 一 个 IMChat! 且 从 IMChatRegistry 的 名 
字 来 看 ， 就 知道 这 个 类 负责 注册 登记 IMChat， 一 个 IMChat 对 象 由 此 而 来 ,合情合理 。 但 是 ,解决 了 1 个 老 问题 ， 带 来 了 2 个 新 问题 一 一 IMChatRegistry 和 chatForlIMHandle: 的 参数 从 哪里 来 ? 饭 要 一 口 一 
口 地 吃 ， 逆 向 要 一 步 一 步 地 来 。 打 开 |IMChatRegistry.h (如 图 10-86 所 示 ) ， 先 从 IMChatRegistry 下 手 。 


13 @interface IMChatRegistry : NSObject <NSFastEnumeratior> 
14 í 
15 NSMutableArray * allChats; 
16 NSMutableDictionary *_chatGUIDToCurrentThreadMap ; 
17 NSMutableDictionary * chatGUIDToInfoMap; 
18 NSMutableDictionary * chatGUIDToChatMap; 
19 NSMutableDictionary *_threadNameToChatMap ; 
20 NSMutableDictionary * chatGUIDToiMessageSentOrReceivedMap; 
21 NSMutableArray * allChatsInThreadNameMap; 
22 NSMutableArray * pendingQueries; 
23 NSMutableArray * waitingForQueries; 
24 NSString * historyModificationStamp; 
25 IMTimer * markAsReadTimer; 
double _timerStartTimeInterval ; 
BOOL _firstLoad; 
BOOL _loading; 
BOOL _daemonHadTerminated; 
BOOL _wantsHistoryReload; 
BOOL _postMessageSentNoti fications; 
unsigned int . defaultNumberOfMessagesToLoad; 
unsigned int . daemonUnreadCount ; 


long long .daemonLastFailedMessageID; 
NSUserActivity * userActivity; 


} 


38 + (Class)messageClass; 

39 + (void)setMessageClass:(Class)arg1; 

40 + (Class)chatClass; 

41 + (void)setChatClass:(Class)argl; 

42 + (Class)chatRegistryClass; 

43 + (void)setChatRegistryClass:(Class)arg1; 
44 + (id)sharedInstance; 


图 10-86 IMChatRegistry.h 
其 中 ， 第 44 行 的 sharedlnstance， 说 明 IMChatRegistry 是 一 个 单 例 ， 通 过 调用 [IMChatRegistry sharedlnstance] 就 可 以 获取 到 它 的 实例 。So easy! 


那 chatForIMHandle: 的 参数 从 哪里 来 ”自然 是 从 它 的 调用 者 那里 来 ， 继 续 用 LLDB 追 踪 吧 ， 如 下 : 
, 0x33236d8c ІМСоге` 1146 unnamed function2054$$1MCore, queue = 'com.apple.main-thread, stop reason = breakpoint 21.1 


lldb unnamed function2054$$1MCore 
545$1МСоге: 


nny@icloud.com:<None>:cn> (Person: «No AB Match») (Account: P:+86PhoneNumber] 


32 = 0x30a8dca5 


LR 偏 移 前 的 值 是 0x30a8dca5-0xa1b2000=0x268dbca5， 这 个 地 址 已 经 不 再 位 于 IMCore 的 地 址 范围 内 了 。 刚 才 也 说 了 ， 现 在 正 不 断 地 在 IMCore 和 ChatKit 间 徘徊 ， 正 好 ChatKit 的 ASLR 偏 移 也 是 
0xa1b2000， 那 就 去 ChatKit 看 看 0x268dbca5 在 不 在 它 里 面 ， 如 图 10-87 所 示 。 


#(selRef_ conversationForChat ~ 0x268DBCB2) ; selRef : 
PC ; selRef__conversationForChat_ 
text:268DBCBO [RO] ; " conversationForChat:" 


text:268DBCB2 R6 

text:268DBCB4 SP, #8 

text:268DBCB6 (RA-R7,LR) 

text:268DBCBA j__objc_msgSend 

text:268DBCBA ; End of function -[CKConversationList conversationForHandles:displayName:joinedChatsOnly:cre 


图 10-87 [CKConversationList conversationForHandles:display Name:joinedChatsOnly:create:] 


0x268dbca5 位 于 [CKConversationList conversationForHandles:displayName:joinedChatsOnly:create:] 内 部 ，chatForIMHandle: 的 参数 也 是 来 自 于 [CKConversationList conversation 
ForHandles:displayName:joinedChatsOnly:create:] 的 第 一 个 参数 。 继 续 回 滴 ， 如 下 : 


Process 292950 stopped 
* thread #1: tid = 0x47856, 0x30a8dc60 ChatKit'-[CKConversationList conversationForHandles:displayName:joinedChatsOnly:create:], queue = 'com.apple.main-thread, stop reason = k 
frame #0: 0x30a8dc60 ChatKit'-[CKConversationList conversationForHandles:displayName:joinedChatsOnly:create:] 
ChatKit'-[CKConversationList conversationForHandles:displayName: joinedChatsOnly:create:]: 
-» 0x30a8dc60: push (r4, r5, r6, r7, lr) 
0x30a8dc62: add r7, sp, #12 
0x30a8dc64: sub sp, #8 
0x30a8dc66: mov r6, тб 
(lldb) po $r2 
< NSArrayM 0x178d2290>( 
[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: «No AB Match») (Account: P:+86PhoneNumber] 


) 
(lldb) p/x $1г 
(unsigned int) $1 = 0x30a84efd 


LR 偏 移 前 的 值 是 0x30a84efd-0xa1b2000=0x268d2efd， 这 个 地 址 位 于 [CKTranscript-Controller sendMessage:] 中 ! 你 ! 敢 ! 信 ! 吗 ! 绕 了 一 大 圈 ， 又 回 到 了 原点 ， 让 人 不 禁 感叹 ， 缘 ， 妙 不 可 言 。 
擦 干 喜悦 的 泪珠 ， 来 看 看 ， 这 个 IMHandle 数 组 到 底 是 怎么 来 的 ， 如 图 10-88 所 示 。 


#1 
#(:upper16:(selRef_conversationForHandles_displa 
[SP, #0xA8+var 80] 

#0 

PC ; SelRef conversationForHandles displayName j 
[SP, #0xA8+var A8] 

[R1] ; "conversationForHandles:displayName:join" 
[SP, #0xA8+var A4] 

R6 

c msgSend 


10-88 IMHandle dt 28 65 RIR 


R2 来 自 R6，R6 来 自 [SP,#0xA8+var_80]。 熟 悉 的 套路 又 回来 了 ， 下 面 还 是 只 给 出 提示 图 (如 图 10-89 和 图 10-90 所 示 ) ， 请 读者 自行 分 析 。 


b2] xrefs to var_80 


STR RO, [SP,40xA8+var_80] 


{CKTranscriptContr... LDR RO, [SP,40xA8+var_80] 
{CKTranscriptContr... LDR R6, [SP,#0xA8+var_80] 


10-89 查看 交叉 引用 


R1, [RO] ; 
RO, [R2] ; 


"alloc" 


_objc_msgSend 
RO 
#(selRef_count - 0x268D2DA6) ; selRef count 
PC ; selRef count 

"count" 


[RO] ; 
R8 


_objc_msgSend 


#(selRef initWithCapacity - 0x268D2DBA) 


_OBJC_CLASS $ NSMutableArray 


РС ; selRef initWithCapacity 
"initWithCapacity:" 


[RO] ; 
R6 
_objc_msgSe 


nd 


RO, [SP,#0xA8+var_ 80] 


10-90 


[CKTranscriptController sendMessage:] 


, 


你 可 能 也 会 发 现 ， 这 里 的 情况 跟前 几 次 不 一 样 了 一 一 “STR RO,[SP,#0xA8+var_80]” 和 貌似 只 是 往 [SP,#0xA8+var_80] 里 存 了 一 个 初始 化 过 的 NSMutableArray 而 已 啊 ! 说 好 的 IMHandle 呢 ? 嘿嘿 ， 既 
然 是 一 个 NSMutableArray， 那 么 就 可 能 调用 addObject:， 往 里 面 加 东西 ， 所 以 图 10-89 里 中 间 的 那 一 个 “LDR RO,[SP,#0xA8+var_80]”.…… 双 击 跳 转 过 去 看 看 ， 如 图 10-91 所 示 。 


RO, [SP,#0xA8+var 84] 
R1, R8 
R3, #0 


 objc msgSend 
R2, RO 


RO, 


R1, R11 
 objc msgSend 


图 10-91 ”寻找 IMHandle 


[SP, #0xA8+var_ 80] 


果不其然 ， 它 是 一 个 addObject:， 而 且 通 过 简单 观察 上 下 文 就 会 发 现 ，addObject: 的 参数 来 自 于 imHandleWithlD:alreadyCanonical:， 并 且 从 这 个 函数 的 名 字 就 可 以 看 出 来 ， 它 返回 了 一 个 
IMHandle。 看 来 ， 我 们 的 IMHandle 有 着 落 了 ! 在 图 10-91 所 示 的 第 一 个 objc_msgSend 上 下 一 个 断 点 ， 看 看 imHandleWithlD:alreadyCanonical: 的 调用 者 和 人 参数， 如下: 


Process 343388 stopped 


* thread #1: tid = 0x53d5c, 0x30a84e98 ChatKit`-[CKTranscriptController sendMessage:] + 516, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 


frame #0: 0x30a84e98 ChatKit'-[CKTranscriptController sendMessage:] + 516 


ChatKit'-[CKTranscriptController sendMessage:] + 516: 


-> 0x30a84e98: blx 0x30b3bf44 ; symbol stub for: MarcoShouldLogMadridLevel$shim 


0x30a84e9c: mov r2, rÜ 

0x30a84e9e: ldr rO, [sp, #40] 

0x30a84ea0: mov Eh celal 
(1140) p (char *)$г1 
(char *) $0 = 0x30b55fb4 "imHandleWithID:alreadyCanonical:" 
(lldb) po $r0 


IMAccount: 0x145e30d0 [ID: 26B3EC90-783B-4DEC-82CF-F58FBBB22363 Service: IMService[iMessage] Login: P:+86PhoneNumber Active: YES LoginStatus: Connected] 


(lldb) po $r2 
snakeninny@icloud.com 
(lldb) р $r3 
(unsigned int) $3 = 0 


2 个 参数 都 搞定 了 ， 第 1 个 就 是 iMessage 地 址 ， 第 2 个 是 0 (BÜBOOLBSNO) ， 那 调用 


者 ， 这 个 IMAccount 对 象 是 哪里 来 的 呢 ? 如 


图 10-91 所 示 ，R0 来 自 [SP,#0xA8+var_84]， 所 以 根据 提示 图 


10-92 和 


10-93 可 知 ，IMAccount 对 象 来 自 [[IMAccountController sharedinstance] ck defaultAccountForService:[CKConversation sendingService]]. 


9 xrefs to var_84 


Е: Up w -[CKTranscriptContr... STR RO, [SP,#0xA8+var_84) 
r -[CKTranscriptContr... LDR RO, [SP,#0xA8+var_84] 


. Help 


[RO] ; "sharedInstance" 
.OBJC CLASS $ IMAccountController 


$(:lowerl6:(selRef ск defaultAccountForService 
R4 
$(:upperl6:(selRef ск defaultAccountForService 
PC ; selRef ск defaultAccountForService _ 

[81] ; " ck defaultAccountForService:" 
_objc_msgSend 
RO, [SP,#0xA8+var 84] 


图 10-93 [CKTranscriptController sendMessage:] 


趁 热 打 铁 ， 在 图 10-93 的 第 2 个 objc_msgSend 上 下 一 个 断 点 ， 看 看 [CKConversation sendingService] 是 什么 ， 如 下 : 


Process 343388 stopped 
* thread #1: tid = 0x53d5c, 0x30a84e08 ChatKit`-[CKTranscriptController sendMessage:] + 372, queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x30a84e08 ChatKit'-[CKTranscriptController sendMessage:] + 372 
ChatKit'-[CKTranscriptController sendMessage:] + 372: 
-> 0х30а84е08: blx Ox30b3bf44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 
0x30a84e0c: str r0, [sp, $36] 
0x30a84e0e: movw r0, #23756 
0x30a84e12: add r2, sp, #44 
(lldb) p (char *)$r1 
(char *) $4 = 0x30b55f95 " ck defaultAccountForService:" 
(lldb) po $12 
IMService [iMessage] 
(lldb) ро [Sr2 class] 
IMServiceImpl 


可 见 ， 它 是 一 个 IMServicelmpl 对 象 ， 那 在 我 们 自己 的 代码 中 ， 该 如 何 得 到 这 样 一 个 IMServicelmpl 对 象 呢 其 实在 10.2 节 中 已 经 拿 到 这 个 类 的 对 象 了 ， 打 开 !M Servicelmplh， 如 图 10-94 所 示 。 


© | "| IMServicelmpl.h (~/Code/iOSPrivateHeaders/8. 1 
50 + (BOOL)systemSupportsSendingAttachmentsOfTypes:(id)argl error:(int *)arg?2; 
(BOOL)systemSupportsSMSSending; 

Cid)supportedCountryCodes ; 
Cid)operationalServicesWithCapability:(unsigned long long)argi; 
Cid)connectedServicesWithCapability:(unsigned long long)argl; 
Cid)servicesWithCapability:(unsigned long long)arg1; 
Cid)connectedServices ; 

Cid)activeServices; 

(id)serviceWithInternalName:(id)argl; 

Cid)serviceWithName : (id)argl ; 

Cid)allServicesNonBlocking; 

Cid)al1Services; 

Cvoid)setServiceClass:(Class)arg1; 

(Class)serviceClass; 


T 


十 十 十 十 十 十 十 十 十 十 十 十 


10-94 IMServiceImpl.h 


其 中 的 [IMServicelmpl iMessageService] 就 是 了 。 用 Cycript 再 次 确认 ， 如 下 : 


Cy# [IMServiceImpl iMessageService] 
#"IMService[iMessage]" 


到 此 为 止 ， 一 个 可 用 的 IMChat 类 是 如 何 生成 的 ， 被 我 们 完整 地 逆向 了 出 来 。 下 面 在 Cycript 里 验证 一 下 可 行 性 ， 如 下 : 


FunMaker-5:~ root# cycript -p MobileSMS 


cy# service = [IMServiceImpl iMessageService] 
#" IMService [iMessage]" 
cy# account = [[IMAccountController sharedInstance] ck_defaultAccountForService:service] 


#"IMAccount: 0x145e30d0 [ID: 26B3EC90-783B-4DEC-82CF-F58FBBB22363 Service: IMService[iMessage] Login: P:+86PhoneNumber Active: YES LoginStatus: Connected]" 

cy# handle = [account imHandleWithID:@"snakeninny@icloud.com" alreadyCanonical:NO] 

#"[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: «No AB Match») (Account: P:+86 MyPhoneNumber]" 

cy# chat = [[IMChatRegistry sharedInstance] chatForIMHandle:handle] 

#"<IMChat 0x15809000> [Identifier: snakeninny@icloud.com GUID: iMessage;-;snakeninny@icloud.com Persistent ID: snakeninny@icloud.com Account: 26B3EC90-783B-4DEC-82CF-F58FBE 


完美 ! 最 后 的 任务 ， 就 是 构造 一 个 可 用 的 IMMessage 对 象 ， 这 样 就 可 以 实现 iMessage 的 发 送 了 ， 这 就 行动 起 来 ! 


打开 IMMessage.h， 如 图 10-95 所 示 。 


13 @interface IMMessage : NSObject <NSCopying> 

14 í 

15 IMHandle *_sender; 

16 IMHandle * subject; 

17 NSAttributedString * text; 

18 NSString * plainBody; 

19 NSDate * time; 

20 NSDate * timeDelivered; 

21 NSDate * timeRead; 

22 NSDate * timePlayed; 

23 NSString * guid; 

24 NSAttributedString * messageSubject; 

25 NSArray * fileTransferGUIDs; 

26 NSError * error; 

27 unsigned long long flags; 

28 BOOL _isInvitationMessage; 

29 long long _messageID; 

30 } 

31 

32 + (id)messageFromIMMessageItemDictionary:(id)argi sender:(id)arg2 subject:(id)arg3; 

33  (id)messageFromIMMessageltem:(id)argl sender:(id)arg2 subject:(id)arg3; 

34 + (id)fromMeIMHandle:(id)argi withText:(id)arg2 fileTransferGUIDs:(id)arg3 flags:(unsigned long long)arg4; 
35 + (id)instantMessageWithText:(id)argi messageSubject:(id)arg2 fileTransferGUIDs:(id)arg3 flags:(unsigned long long)arg4; 
36  (id)instantMessageWithText:(id)argi messageSubject:(id)arg2 flags:(unsigned long long)arg3; 
37 + (id)instantMessageWithText:(id)argi flags:(unsigned long long)arg2; 

38 + (id)defaultInvitationMessageFromSender:(id)argi flags:(unsigned long long)arg2; 

39 + (id)locatingMessageWithGuid:(id)argl error:(id)arg?2; 

40 + (id)messageWithLocation:(id)argi flags:(unsigned long long)arg2 error:(id)arg3 guid:(id)arg4; 
41 + (id) vCardDataWi thCLLocation: (id)argl ; 


10-95 IMMessage.h 


又 是 一 堆 类 方法 ， 其 中 “instantMessageWithText:flags:” 引 起 了 我 们 的 注意 ， 这 2 个 参数 应 该 各 传 什么 ? 针对 第 一 个 “text” 传 一 个 NSString 进 去 试 试 ， 但 第 二 个 “flags” 呢 ? 不 知道 你 还 有 没有 印 
， 在 本 节 的 前 面 ， 当 我 们 找到 [IMChat sendMessage: IMMessage] 时 ， 曾 在 LLDB 中 打印 出 了 一 个 IMMessage 的 结构 ， 如 下 : 


(lldb) po $r2 
IMMessage[from=(null); msg-subject=(null); account: (null) ;flags=100005; subject='<< Message Not Loggable >>' text='<<Message Not Loggable >>' messageID: 0 GUID:'966C2CD6-3710-4 


这 里 的 “text” 无 法 显示 ,而 “flags” 是 100005。 在 Cycript 中 试 试 ， 如 下 : 


Cy# [IMMessage instantMessageWithText:@"iOSRE test" flags:100005] 
-[__NScFString string]: unrecognized selector sent to instance 0x1468c140 


10-95， 看 看 能 不 能 


Cycript 告 诉 我 们 ，NSString 不 能 响应 @selector(string)， 也 就 是 说 ， 第 一 个 参数 并 不 是 一 个 NSString 对 象 ， 正 确 类 型 的 参数 应 该 是 可 以 响应 这 个 @selector(string) 的 。 重 新 审视 图 
找 出 一 些 蛛丝马迹 。 注 意 到 第 17 行 的 “NSAttributedString*_text” 了 吗 ? 查阅 苹果 官方 提供 的 文档 ，NSAttributedString 确 实 有 一 个 “-(NSString*)string” 方 法 ， 如 图 10-96 所 示 。 


8 NSAttributedString Class Reference › = Ret 


string 
The character contents of the receiver as an NSSt ring object. (read-only) 


Declaration 


SWIFT 
var string: String { get } 


OBJECTIVE-C 
@property(readonly, copy) NSString *string 


图 10-96 [NSAttributedString string] 


新 尝试 传 一 个 NSAttributedString 对 象 进去 试 试 ， 如 下 : 


су# attributedString = [[NSAttributedString alloc] initWithString:@"iOSRE test"] 

#"iOSRE test{\n}" 

cy# message = [IMMessage instantMessageWithText:attributedString flags:100005] 

#"IMMessage [from= (null); msg-subject=(null); account: (null) ;flags=186a5; subject='<< Message Not Loggable >>' text='<<Message Not Loggable >>' messageID: 0 GUID:'00A8C645-D207- 


cy# [attributedString release] 


这 里 成 功 构造 了 一 个 IMMessage 对 象 。 接 下 来 ，“ 这 是 我 生命 中 美好 的 时 刻 ， 我 要 完成 我 最 喜欢 的 测试 ， 在 这 美丽 的 月 光 下 在 这 美丽 的 Cycript 里 ” : 


cy# [chat sendMessage:message] 


效果 如 图 10-97 所 示 。 打 完 收 工 ! 


»ггсс PHRA F 14:45 @ 100% [EE + 


< snakeninny@icloud.com Details 


iMaessage 
Today 14:41 


IOSRE test 


Delivered 


图 10-97 成 功 发 送 iMessage 


10.4” 首 向 结果 整理 


m 
vr 


相对 于 前 几 章 的 示例 来 说， 本 章 展 示 的 逆向 工程 的 整体 思路 虽 未 变 ， 但 复杂 程度 增 大 了 不 少 ， 尤 其 是 与 同 为 系统 App 的 第 7 章 Notes 相 比 ， 两 者 的 难度 相差 了 若干 数量 级 。 为 了 逆向 出 看 似 很 简单 | 
iMessage 检 测 和 发 送 操作 ， 大 致 的 思路 是 下 面 这 样 的 。 


(1) 从 表面 现象 入 手 


"Text Message” 变 成 “iMessage” ， 绿 色 变 成 蓝 色 ，“Send” 按钮 ， 这 些 表层 现象 都 来 自 于 底层 代码 。 只 要 能 描述 出 所 观察 到 的 东西 ， 就 可 以 以 此 入 手 ， 开 始 逆向 分 析 。 本 章 ， 就 是 从 信息 输入 框 
的 占 位 符 和 “Send” 按钮 入 手 ， 通 过 Cycript 定 位 到 其 实现 代码 ， 并 切入 代码 层 的 。 


(2) 浏览 class-dump 出 的 头 文件 ， 找 到 感 兴趣 的 点 


Objective-C 头 文件 结构 清晰 ， 函 数 名 的 含义 明确 ， 可 读 性 强 ， 是 寻找 蛛丝马迹 的 理想 场所 。 用 Cycript 对 那些 简单 的 函数 、 属 性 、 实 例 变 量 做 测试 ， 有 助 于 我 们 对 类 的 功能 有 大 体 了 解 。 本 章 ， 在 获取 
一 些 重要 变量 的 时 候 ， 并 没有 严谨 地 借助 IDA 和 LLDB 这 两 样 大 杀 器 ， 而 是 仅 靠 阅读 头 文件 ， 通 过 函数 名 猜测 参数 的 类 型 与 用 法 ， 配 合 Cycript 进 行 测试 ， 最 终 得 出 了 理想 的 结果 。 黑 猫 白 猫 ， 抓 到 老鼠 的 就 是 
好 猫 。 


(3) 在 IDA 中 查看 函数 是 如 何 形成 一 个 面 的 


在 查看 函数 内 部 实现 时 ，IDA 无 疑 是 最 好 用 的 神器 之 一 。 不 管 是 通过 交叉 引用 、 地 址 跳 转 ， 还 是 全 局 搜索 ， 都 可 以 快速 定位 关键 词 ， 并 方便 地 浏览 上 下 文 ， 对 关键 词 的 前 因 后 果 有 准确 的 把 握 。 在 检测 


iMessage 时 ， 我 们 用 IDA 理 顺 了 [CKMessageEntryView updateEntryView]. [CKPendingConversation sendingService], [CKPendingConversation composeSendingService] 和 
IMChatCalculateserviceForSendingNewCompose 等 函数 的 调用 关系 ， 其 中 IMChatCalculateServiceForSendingNewCompose 是 一 个 C 函 数 ， 对 class-dump 免 疫 ; 在 发 送 iMessage 时 ， 从 上 层 的 
[CKTranscriptController sendComposition:CKComposition], 一 路 经 过 [CKTranscriptController_startCreatingNewMessageForSending:]、[CKConversation sendMessage:newComposition:]. 
[CKConversation sendMessage:onService:newComposition:]， 追 踪 到 了 底层 的 [IMChat sendMessage:IMMessage]， 都 是 依靠 1DA 提 供 的 关键 词 及 关联 性 从 一 个 面 中 ， 手 工地 把 那 条 线 给 挑 出 来 的 。 
虽然 没有 机 器 自动 完成 方便 ， 但 工作 量 也 完全 在 可 以 接受 的 范围 内 ， 这 都 要 归功 于 IDA 提 供 的 强大 分 析 结 果 。 


hi 


(4) 用 LLDB 确 认 唯 一 的 那 条 线 


LLDB 的 使 用 贯穿 本 章 的 始终 ， 即 使 是 在 有 意 “克制 ”的 10.3 节 ， 我 们 也 在 寻找 函数 调用 者 、 动 态 查 看 参数 的 时 候 “ 不 得 不 ”惊动 LLDB 它 “老人 家 ”。 相 对 于 GDB，LLDB 对 iOSs 的 支持 要 好 得 多 ， 基 本 
不 会 出 现 崩溃 等 Bug， 对 于 Objective-C 的 支持 也 很 到 位 ， 让 我 们 可 以 专注 在 调试 本 身上 。 在 进行 iMessage 的 检测 及 发 送 的 环节 中 ， 用 LLDB 澄 清 了 大 量 细节 ， 通 过 对 数据 源 一 环 扣 一 环 的 分 析 ， 基 本 厘清 了 
iOs 发 送 iMessage 的 一 小 段 流 程 。 由 小 见 大 ， 从 中 也 可 以 窥探 出 苹果 的 设计 思路 : MobileSMS 是 一 间 邮 局 ， 邮 局 的 建筑 材料 、 办 公设 备 和 工作 人 员 均 来 自 ChatKit， 而 充当 邮差 工作 的 是 IMCore。 用 户 去 邮 
局 发 一 封 信 ， 他 把 信件 放 在 邮 简 里 ， 由 工作 人 员 整 理 后 交付 给 邮差 ， 送 信 的 进度 和 结果 再 由 邮差 反馈 给 工作 人 员 ， 工 作 人 员 再 通知 用 户 ， 这 样 就 完成 了 整个 的 服务 流程 闭环 。 三 者 各 司 其 职 ， 为 果 粉 带 来 有 
好 的 用 户 体验 ; 我 们 通过 逆向 工程 学 习 到 的 这 种 设计 思路 ， 如 果 能 融会 贯通 ， 运 用 到 自己 的 产品 设计 里 去 ， 给 产品 所 带 来 的 优雅 度 、 设 计 感 、 健 壮 性 都 将 是 仅仅 阅读 开发 文档 所 无 法 企及 的 。 


10.5 ”编写 tweak 


在 使 用 Cycript 完 成 核心 功能 的 测试 后 ， 用 Theos 编 写 代码 就 仅仅 是 简单 的 体力 劳动 了 。 本 节 ， 就 用 最 直观 的 代码 ,给 MobileSMS 中 的 SMSApplication 类 添加 2 个 实例 函数 ,分 别 是 “- 
(int)madridStatusForAddress:(NSString*)address” 和“-(void)sendMadridMessage ToAddress:(NSString*)address withText:(NSString*)text”， 然 后 用 Cycript 测 试 这 2 个 类 函数 的 有 效 性 。 开 始 行 
动 ! 


10.5.1 ”用 Theos 新 建 tweak 工 程 “iOSREMadridMessenger” 


新 建 :OSREMadridMessenger 工 程 的 命令 如 下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
.] iphone/notification center widget 
] iphone/preference bundle ~ 
] iphone/sbsettingstoggle 
] iphone/tool 
.] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREMadridMessenger 
Package Name [com.yourcompany.iosremadridmessenger]: com.iosre.iosremadridmessenger 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.apple.MobileSMS 


о со] сул» QN HÀ 


[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard] :MobileSMS 
Instantiating iphone/tweak in iosremadridmessenger/http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15121/0EBPS/Text/... 
Done. 


10.5.2 ”构造 OSREMadridMessenger.h 


在 10.2 节 的 检测 及 10.3 节 的 发 送 中 ， 用 到 了 私有 框架 {iDS、ChatKit 和 IMCore 中 的 多 个 私有 类 和 私有 函数 ， 我 们 必须 给 出 它们 的 定义 ， 才 能 避免 编译 器 报错 或 警告 。 当 然 ,iOSREMadridMessenger.h 
的 内 容 并 不 是 赁 空 构造 出 来 的 ， 所 有 的 定义 均 来 自 于 class-dump 出 的 头 文件 ， 我 们 只 是 把 用 到 的 东西 挑选 出 来 ， 再 整合 到 一 个 头 文件 里 而 已 一 一 我 们 构造 的 只 是 一 个 “和 精 选 头 文件 ”。 编 辑 后 的 
iOSREMadridMessenger.h 内 容 如 下 : 


Qinterface IDSIDQueryController 

+ (instancetype)sharedInstance; 

- (NSDictionary *)_currentIDStatusForDestinations: (NSArray*)argl service: (NSString *)arg2 listenerID: (NSString *)arg3; 
Gend 

Ginterface IMServiceImpl : NSObject 

* (instancetype)iMessageService; 

Gend 

Gclass IMHandle; 

Ginterface IMAccount : NSObject 

- (IMHandle *)imHandleWithID: (NSString *)argl alreadyCanonical: (BOOL)arg2; 

Gend 

Ginterface IMAccountController : NSObject 

* (instancetype)sharedInstance; 

- (IMAccount *) ck defaultAccountForService: (IMServiceImpl*)argl; 

Gend 

Ginterface IMMessage : NSObject 

* (instancetype)instantMessageWithText: (NSAttributedString*)argl flags: (unsigned long long)arg2; 
Gend 

Ginterface IMChat : NSObject 


— (void)sendMessage: (IMMessage *)argl; 


Gend 


Ginterface IMChatRegistry : 


NSObject 


* (instancetype)sharedInstance; 
- (IMChat *) chatForIMHandle: (IMHandle *)argl; 


Gend 


10.5.3 编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "iOSREMadridMessenger.h" 

%hook SMSApplication 

znew 

- (int)madridStatusForAddress: (NSString *) address 


NSString *formattedAddress - nil; 
if ([address rangeOfString:@"@"].location != NSNotFound) formattedAddress = [@"mailto:" stringByAppendingString:address]; 
else formattedAddress = [@"tel:" stringByAppendingString:address]; 
NSDictionary *status = [[IDSIDQueryController sharedInstance] current IDStatusForDestinations:@[formattedAddress] service:@"com.apple.madrid" listenerID: Q" kIMChatServic 
return [status[formattedAddress] intValue]; 
new 
(void)sendMadridMessageToAddress: (NSString *)address withText: (NSString *) text 


= J dew 


IMServiceImpl *service = [IMServiceImpl iMessageService]; 
IMAccount *account = [[IMAccountController sharedInstance] _ ck_defaultAccountForService:service]; 


IMHandle *handle = [account imHandleWithID:address alreadyCanonical:NO]; 

IMChat *chat - [[IMChatRegistry sharedInstance] chatForIMHandle:handle]; 
NSAttributedString *attributedString - [[NSAttributedString alloc] initWithString: text]; 
IMMessage *message - [IMMessage instantMessageWithText:attributedString flags: 100005]; 
[chat sendMessage:message]; 

[attributedString release]; 


de 


10.5.4 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE ТР = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone: latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME = iOSREMadridMessenger 
ioSREMadridMessenger FILES = Tweak.xm 
iOSREMadridMessenger PRIVATE FRAMEWORKS = IDS ChatKit IMCore 
include $ (ТНЕОЅ MAKE PATH) /tweak.mk 
after-install:: | z 
install.exec "killall -9 MobileSMS" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosremadridmessenger 

Name: iOSREMadridMessenger 

Depends: mobilesubstrate, firmware (>= 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Detect and send iMessage example 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


10.5.5 ”用 Cycript 测 试 


将 写 好 的 tweak 编 译 打包 安装 到 iOS 后 ， 执 行 ssh 命 令 连接 到 iOS 中 ， 然 后 执行 如 下 代码 : 


FunMaker-5:~ root# cycript -p MobileSMS 
cy# [UIApp madridStatusForAddress:@"snakeninny@icloud.com"] 
1 


cy# [UIApp sendMadridMessageToAddress:@"snakeninny@icloud.com" withText:@"Sent from iOSREMadridMessenger"] 


“snakeninny@icloud.com" 的 检测 结果 是 1， 支 持 iMessage， 且 此 条 iMessage 被 成 功 发 送 ， 如 图 10-98 所 示 。 


seco 中 国联 通 = 21:57 © 39556 ШШ. 


snakeninny@icloud.com Details 


iMessage 
Today 21:57 


Sent from 


IOSREMadridMessenqer 


Delivered] 


图 10-98 成功 发 送 iMessage 


如 果 你 按照 上 面 的 思路 和 方法 成 功 搞定 了 iMessage 的 检测 和 发 送 ， 就 给 “snakeninny@gmail.com” 发 一 条 iMessage 吧 ! 


10.6 小 结 


作为 苹果 在 iOS 5 之 后 重点 打造 的 核心 服务 之 一 ，iMessage 的 功能 在 iOS 8 中 得 到 了 大 幅度 增强 ， 不 管 是 单纯 的 文字 ， 还 是 多 媒体 照片 、 语 音 ， 甚 至 是 视频 ，iMessage 都 能 完美 地 hold 住 。 本 章 的 
iMessage 检 测 与 发 送 虽 然 仅仅 是 所 有 iMessage 操 作 的 冰山 一 角 ， 但 都 已 经 要 在 IDS、ChatKit 和 IMCore 这 3 个 模块 间 来 回 切 换 了 ， 可 见 整 个 iMessage 系 统 的 复杂 度 之 高 。 从 上 面 的 分 析 过 程 中 可 知道 ,负责 
管理 iMessage 发 件 人 的 是 IMAccountController， 作 为 发 送信 的 我 们 是 一 个 个 IMAccount; 收 件 人 是 一 个 IMHandle; 一 条 对 话 就 是 一 个 IMChat 或 CKConversation; IMChatRegistry 管 理 所 有 的 对 话 ; 
一 条 iMessage 就 是 一 个 IMMessage 或 CKComposition。 对 于 那些 有 意 涉足 即时 通信 的 开发 者 来 说 ，iMessage 的 这 些 设计 方式 非常 值得 借鉴 。 如 果 你 对 iMessage 很 感 兴趣 ， 觉 得 本 章 的 内 容 仍 意犹未尽 ， 
不 妨 尝试 分 析 笔者 留 下 的 下 面 3 个 “隐藏 关卡 ”， 它 们 由 易 到 难 ， 运 用 本 章 的 所 用 到 的 逆向 思路 和 技巧 ， 就 可 以 各 个 击破 。 


. 搞定 SMS 的 发 送 (提示 : 只 要 更 换 IMServiceImpl 对 象 即 可 ) ; 
:用 ChatKit 类 搞定 iMessage 发 送 〔〈 提 示 : CKConversation 对 象 可 以 由 IMChat 对 象 生 成 ) ; 


+ 把 发 送 iMessage 的 操作 移植 到 SpringBoard 进 程 中 (488: 在 SpringBoard 中 调用 [IMChat sendMessage:IMMessage] 之 所 以 无 效 ， 是 因为 SpringBoard 缺 少 某 种 “capabilities” Ja 


如 果 本 章 的 内 容 你 能 完全 吃透 ， 并 “ 脱 稿 ”完成 ， 那 么 恭喜 你 ， 你 已 经 是 一 名 优秀 的 iOS 逆 向 工程 师 了 ， 可 以 朝 着 更 高 的 目标 (比如 越狱 ”) 迈进 了 。 在 开始 新 的 征程 前 ， 先 来 我 们 的 论 
坛 http://bbs.iosre.com， 与 各 位 同好 分 享 这 份 喜悦 吧 ! 


越狱 开发 一 览 


Much has been said about Apple’ s closed approach to selling devices and running an app platform.But what few know is that behind closed doors there’ s a massive ecosystem of 
libraries and hardware features waiting to be unlocked by developers.All of the APIs Apple uses internally to build their services,applications,and widgets are available once the locks are 
broken via a process called jailbreaking.Most of them are written in Objective-C,a dynamic language that provides very rich introspection capabilities and has a culture of self-describing 
code.Further tearing down barriers, most people install something called CydiaSubstrate shortly after jailbreaking,which allows running custom code inside every existing process on the 
device.This is very powerful—not only have we broken out of the walled garden into the rest of the forest,all of the footpaths are already labeled.Building code that targets jailbroken iOS 


devices involves unique ways of inspecting APIs injecting code into processes,and writing code that modifies existing classes and finalized behaviors of the system. 


The APIs implemented on iOS can be divided into four categories:framework-level Objective-C APIs,app-level Objective-C classes,C-accessible APIs and JavaScript-accessible 
APIs.Objective-C frameworks are the most easily accessible.Normally the structure of a component is only accessible to the programmer and those the source code or documentation have 
been made available to,but compiled Objective-C binaries include method tables describing all of the classes, protocols methods and instance variables contained in the binary.An entire 
family of "class-dump" tools exists to take these method tables and convert them to header-like output for easy consumption by adventurous programmers.Calling these APIs is as simple 
as adding the generated headers to your project and linking with the framework or library.The second category of app internal classes may be inspected via the same toolsbut are not 
linkable via standard tools.To get to those classes,one has to have code injected into the app in question and use the Objective-C runtime function objc getClass to get a reference to the 
class;from there,one can call APIs via the headers generated by the tool.Inspecting C-level functions are more difficult.No information about what the parameters or data structures are 
baked into the binaries,only the names of exported functions.The developer tools that ship with OS X come with a disassembler named "otool" which can dump the instructions used to 
implement the code in the device.Paired with knowledge of ARM assembly,the type information can be reconstructed by hand with much effort.This is much more cumbersome than with 
Objective-C code.Luckily,some of the components implemented in C are shared with OS X and have headers available in the OS X SDK,or are available as open-source from 
Apple.JavaScript-level APIs are most often facades over Objective-C level APIs to make additional functionality accessible to web pages hosted inside the iTunes,App Store,iCloud and iAd 


sections of the operating system. 


Putting the APIs one has uncovered to use often requires having code run inside the process where their implementations are present.This can be done using the 
DYLD INSERT LIBRARIES environment variable on systems that use dyld,but this facility offers very few provisions for crash protection and can easily leave a device in a state where a 
restore is necessary.Instead,the gold standard on iOS devices is a system known as Cydia Substrate,a package that standardizes process injection and offers safety features to limit the 
damage testing new code can do.Once Cydia Substrate is installed,one needs only to drop a dynamic library compiled for the device in/Library/MobileSubstrate/DynamicLibraries,and 
substrate will load it automatically in every process on the device.Filtering to only a specific process can be achieved by dropping a property list of the same name alongside it with details 
on which process or grouping of processes to filter to.Once inside,one can register for events,call system APIs and perform any of the same behaviors that the process normally could.This 
applies to apps that come preinstalled on the device,apps available from the App Store,the window manager known as SpringBoard,UI services that apps can make use of such as the mail 
composer,and background services such as the media decoder daemon.It is important to note that any state that the injected code has will be unique to the process it’ s injected into and 


to share state mandates use inter-process communication techniques such as sockets,fifos, mach ports and shared memory. 


Modifying existing code is where it really starts to get powerful and allows tweaking existing functionality of the device in simple or even radical ways.Because Objective-C method 
lookup is all done at runtime and the runtime offers APIs to modify methods and classes,it is really straightforward to replace the implementations of existing methods with new ones that 
add new functionality,suppress the original behavior or both.This is known as method hooking and in Objective-C is done through a complicated dance of calls to the 
class addMethod,class_getInstanceMethod,method_getlmplementation and method setlmplementation runtime functions.This is very unwieldy;tools to automate this have been built.The 
simplest is Cydia Substrate’ s own MSHookMessage function.It takes a class,the name of the method you want to replace,the new implementation,and gives back the original 
implementation of the function so that the replacement can perform the original behavior if necessary.This has been further automated in the Logos Objective-C preprocessor tool,which 
introduces syntax specifically for method hooking and is what most tweaks are now written in.Writing Logos code is as simple as writing what would normally be an Objective-C method 
implementation,and sticking it inside of a%hook ClassNamehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...%end 
block instead of an@implementation ClassNamehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...%end block, and 
calling%orig() instead of[superhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...].Simple tweaks to how the system 
behaves can often done by replacing a single method with a different implementation,but complicated adjustments often require assembling numerous method hooks.Since most of iOS is 
implemented in Objective-C,the vast majority of tweaks need only these building blocks to apply the modifications they require.For the lower levels of the system that are written in C,a 
more complicate hooking approach is required.The lowest level and most compatible way of doing so is to simply rewrite the assembly instructions of the victim function.This is very 
dangerous and does not compose well when many developers are modifying the same parts of the system.Again,CydiaSubstrate introduces an API to automate this in form of 
MSHookFunction.Just like MSHookMessage,one needs only to pass іп the target function,new replacement implementation function,and it applies the hook and returns the old 
implementation that the new replacement can call if necessary.With the tools the community has made available,the details of the very complex mechanics of hooking have been 


abstracted and simplified to the point where they' re hidden from view and a developer can concentrate on what new features they' re adding. 


Combining these techniques unique to the jailbreak scene,with those present in the standard iOS and OS X development communities yields a very flexible and powerful tool chest for 


building features and experiences that the world hasn' t seen yet. 


(关于 苹果 的 封闭 性 可 谓 路 人 皆 知 。 但 其 实 这 扇 紧 闭 的 大 门 背 后 有 不 计 其 数 的 宝藏 在 等 待 着 开发 者 们 让 它们 重见天日 一 一 这 些 宝藏 就 是 苹果 内 部 使 用 的 所 有 APIl， 而 让 它们 重见天日 的 过 程 就 是 越狱 。 
这 些 API 中 的 大 多 数 都 是 使 用 Objective-C- 门 动态 性 强 、 语 义 清 晰 的 语言 一 一 编写 的 。 越 狱 之 后 ， 为 了 进一步 扩展 iDevice 的 功能 ， 绝 大 多 数 人 都 会 安装 CydiaSubstrate， 它 使 我 们 能 够 在 其 他 进程 中 
运行 自己 编写 的 代码 。 它 的 意义 非 比 寻常 一 一 我 们 不 但 破除 了 苹果 的 限制 ， 还 能 够 以 其 人 之 道 ， 还 治 其 人 之 身 ! 越狱 iOS 开 发 与 普通 的 App Store 开 发 不 尽 相同 ， 它 需要 你 去 摸索 API 的 用 法 ， 把 代码 注入 别 
的 进程 ， 修 改 现 有 的 类 ， 最 终 达到 改变 系统 行为 的 目的 。 


iOS 调 用 的 API 可 以 分 为 4 类 : framework 使 用 的 Objective-C API、App 使 用 的 Objective-C API, С API 和 Javascript API， 其 中 framework 层 面 的 AP 是 最 容易 使 用 的 。 一 般 情 况 下 ， 一 个 程序 的 设 
计 、 代 码 、 文 档 只 为 少数 人 所 有 ， 但 经 过 编译 的 Objective-C 二 进 制 文件 中 含有 所 有 的 类 、 协 议 、 方 法 和 实例 变量 信息 ，“class-dump” 大 家 族 的 工具 可 以 把 这 些 信息 导出 来 ， 形 成 头 文件 ， 供 那些 好 奇 的 
开发 者 研究 并 调用 。App 使 用 的 API 可 以 通过 同样 的 方式 导出 ， 但 不 能 直接 调用 。 这 时 ， 可 以 把 代码 注入 对 应 的 进程 里 ， 然 后 调用 Objective-C 的 运行 时 函数 objc_getClass 来 获取 一 个 类 的 对 象 ， 进 而 调用 类 
方法 。C API 就 要 复杂 一 点 ， 没 有 class-dump 这 样 的 工具 把 C 函 数 的 参数 和 数据 结构 给 导出 来 ， 能 找到 的 只 有 导出 函数 的 函数 名 ; 但 是 ， 利 用 OSX 自 带 的 反 汇编 工具 otool， 结 合 一 些 ARM 汇 编 语言 的 知识 ， 
我 们 可 以 手动 分 析 ， 还 原 C 函 数 的 原 狐 ， 这 个 过 程 比分 析 Objective-(C 方 法 要 复杂 得 多 。 幸 运 的 是 ，iOs 中 的 C 实 现 与 OSX 是 部 分 相通 的 ， 有 一 些 C 函 数 的 头 文件 可 以 从 OSX 的 SDK 中 找到 参考 ， 还 有 一 些 是 : 
WRAY. JavaScript API 通 常 只 是 Objective-C API 的 封装 ， 供 iTunes、App Store、iCloud 和 iAd 等 应 用 中 的 网 页 调用 。 


通过 逆向 工程 得 知 的 API 通 常 需要 注入 对 应 的 进程 才能 调用 ， 因 为 只 有 这 些 进程 中 含有 API 的 实现 。 进 程 注入 可 以 通过 DYLD_INSERT_LIBRARIES 方 式 实现 ， 但 这 种 方式 提供 的 防 谢 溃 保护 不 够 强 ， 很 容 
易 导致 设备 白 苹果 ， 只 有 重 刷 系 统 才能 解决 。 更 好 的 替代 方案 是 CydiaSubstrate， 它 为 进程 注入 制定 了 一 套 标准 ， 并 引入 了 更 加 安全 的 防 崩 溃 保 护 机 制 。 安 装 CydiaSubstrate 之 后 ， 只 需要 把 一 个 dylib 放 
到 /Library/MobileSubstrate/DynamicLibraries 下 即 可 ，CydiaSubstrate 会 自动 在 每 个 进程 启动 时 尝试 把 这 个 dylib 加 载 进 去 ; 我 们 可 以 进一步 通过 编写 一 个 plist 指 定 dylib 加 载 的 对 象 。 一 旦 我 们 的 代码 得 
到 注入 ， 就 可 以 监听 事件 ， 调 用 内 部 AP1， 做 这 个 进程 本 身 能 够 做 的 任何 事 。 这 种 注入 方式 可 以 用 在 任何 进程 上 : 系统 App、App Store App、iOS 上 的 窗口 管理 器 SpringBoard、UI 服 务 (如 
MailComposer) 和 守护 进程 (如 mediaserverd) 。 值 得 一 提 的 是 ， 我 们 的 代码 只 在 注入 的 进程 内 部 生效 ， 如 果 要 使 其 跨 进 程 作用 ， 则 需要 用 到 sockets、fifos、mach ports 和 shared memory 等 技术 。 


从 我 们 能 够 通过 简单 方便 的 CydiaSubstrate 更 改 现 有 的 代码 开始 ， 我 们 能 做 的 事 就 多 了 起 来 。 因 为 Objective-( 方 法 调用 都 是 在 运行 时 决定 的 ， 而 Objective-C 的 运行 时 函数 提供 了 修改 类 和 方法 的 
API， 所 以 这 个 过 程 就 比较 直观 了 ， 大 体 是 通过 class addMethod, class getinstanceMethod, method getlmplementation 和 method _setlmplementation 这 4 个 运行 时 函数 来 实现 hook 的 功能 。 这 个 
过 程 并 不 困难 ， 但 比较 繁复 ， 许 多 工具 就 是 为 了 自动 化 这 个 过 程 而 存在 的 ， 其 中 比较 简单 的 是 CydiaSubstrate 提 供 的 MSHookMessage 函 数 ， 它 有 4 个 参数 ， 分 别 是 : 一 个 类 、 一 个 你 要 hook 的 方法 名 、 一 
个 新 的 实现 和 一 个 原始 实现 。 现 在 越狱 社区 又 出 现 了 一 种 更 简单 的 Logos 预 处 理工 具 ， 它 引入 了 专 为 hook 设 计 的 语法 ， 因 此 在 广大 越狱 开发 者 中 流行 了 起 来 。Logos 语 法 与 Objective-C 语 法 十 分 类 似 ， 把 
@implementation ClassNamehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/.….%end 的 首尾 替换 掉 ， 改 成 %hook 


ClassNamehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...%end, 把 
[superhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15121/OEBPS/Text/...] 蔡 换 为 %orig 就 行 了 。 简 单 地 更 改 系统 功能 往往 只 需要 hook 一 两 个 
独立 函数 ， 把 它们 的 实现 改 掉 就 可 以 了 ;但 多 数 情况 下 我 们 需要 组 合 hook 好 几 个 函数 并 协调 它们 之 间 的 调用 关系 。 因 为 iOS 的 大 部 分 功能 是 用 Objective-C 写 的 ， 所 以 大 多 数 tweak 仅 用 上 面 提 到 的 语法 就 够 
了 ， 但 一 旦 涉及 了 更 底层 的 C 函 数 ，hook 的 方法 就 要 复杂 许多 ， 一 和 写 一 段 ARM 汇 编 指令 ， 当 然 这 种 方法 的 危险 系数 极 高 ， 不 建议 一 般 开发 者 尝试 。 好 在 CydiaSubstrate 也 提供 了 一 个 简单 的 API, 
即 MSHookFunction， 调 用 者 只 需要 把 需要 hook 的 函数 及 其 新 的 实现 作为 参数 传 进 去 就 可 以 了 。 越 狱 社 区 提供 的 这 些 工具 把 hook 操 作 复杂 的 一 面 给 抽象 化 了 ， 封 装 成 几 个 简单 的 接口 供 开发 者 使 用 ， 从 而 
使 我 们 能 够 把 精力 集中 在 tweak 的 编写 上 。 


把 这 些 越狱 社区 独 有 的 技术 同 App store 开发 的 普遍 性 技术 结合 起 来 ， 我 们 得 到 了 一 套用 法 灵活 、 功 能 强大 的 工具 集 ， 利 用 这 套 工 具 能 够 打造 的 功能 也 将 是 前 所 未 有 的 。) 


Ryan Petrich 


牧 “ 码 ”人 ，Activator 之 父 


沙 箱 逃脱 


As а security measure and to keep apps on the device from sharing data or interfering with each other,iOS includes a security system known as the sandbox.The sandbox blocks access 
to files,network sockets,bootstrap service names,and the ability to spawn subprocesses.Part of the jailbreaking process involves modifying the sandbox so that all processes can load Cydia 


Substrate,but much of the sandbox is left intact to respect the security and privacy of the user' s data. 


With each new release,Apple further improves the sandbox to improve privacy and security.When building extensions or tweaks that need to share information across processes or 
persist data to disk,this can be restrictive.One approach is to survey the sandbox restrictions that exist on the processes where the extension is to be run,and choose file paths and names 
based on them.This is common,but can leave oneself stranded when Apple tightens the tourniquet and as of iOS 8 there is no location that all processes can read and write successfully.A 
better approach is to do all of the interesting work inside a privileged process such as SpringBoard,backboardd or even a manually created launch daemon of your own.Child processes can 


then send work to the privileged service.This ensures that as the sandbox tightens,your extension will still behave properly as long as it can communicate with the service. 


Oddly enough,as of iOS 8 Apple has also decided to limit which services ап app store process may query.This makes nearly all forms of inter-process communication ineffective on 
IOS,outside of the well-defined static services that Apple has designated.RocketBootstrap was created as a way around this that simultaneously allows additional services to be registered 
and respects the security and privacy of the user' s data.Services registered with RocketBootstrap are made globally accessible even in spite of very restrictive sandbox rules and it will 


serve as a single project that needs updating as the rules change. 


(出 于 安全 考虑 ， 也 为 了 让 每 个 App 运 行 在 自己 的 独立 空间 里 ，iOS 引 入 了 名 为 “ 沙 箱 " (sandbox) 的 安全 体系 。 沙 箱 会 拦截 文件 访问 、 网 络 套 接 字 、Bootstrap 服 务 ， 以 及 对 子 进程 的 pawn。 越 狱 
操作 对 沙 箱 作 出 了 适量 修改 ， 使 所 有 进程 都 能 够 加 载 CydiaSubstrate， 但 为 了 用 户 的 隐私 安全 ， 大 多 数 沙 箱 限制 仍 保留 原样 。 


在 每 一 版 iOS 中 ， 苹 果 公司 都 会 增强 沙 箱 的 作用 。 当 我 们 的 tweak 需 要 跨 进 程 访问 数据 或 向 硬盘 写 数据 时 ， 沙 箱 会 给 我 们 的 操作 带 来 限制 。 绕 过 这 些 限 制 的 方案 之 一 是 视 tweak 运 行 在 哪些 进程 中 而 定 ， 
选择 一 个 这 些 进 程 都 能 访问 的 路 径 或 文件 ， 达 到 共享 数据 的 目的 。 这 是 一 种 常规 的 方法 ， 但 一 旦 苹果 公司 再 次 收 紧 沙 箱 的 限制 ， 这 种 方法 就 可 能 失效 ， 比 如 iOS 8 中 已 经 不 存在 一 个 所 有 进程 皆 可 读 写 的 路 径 
了 。 另 一 种 更 好 的 方案 是 把 类 似 操作 放 在 权限 高 的 进程 ， 如 SpringBoard、backboardd， 甚 至 是 我 们 自己 编写 的 守护 进程 里 去 完成 ， 我 们 的 tweak 所 在 的 进程 只 需要 把 受 限制 的 操作 丢 给 这 些 高 权限 的 进 
程 ， 然 后 坐等 结果 就 可 以 了 。 这 么 做 的 好 处 是 ， 即 使 沙 箱 的 限制 越 来 越 严 ， 只 要 tweak 所 在 的 进程 能 够 与 高 权限 进程 通信 ，tweak 就 能 够 正常 运行 。 


奇怪 的 是 ， 在 iOS 8 里 ， 苹 果 公司 甚至 限制 了 AppStore App 所 能 访问 的 服务 ( 即 能 够 通信 的 进程 ) ， 叶 致 几乎 所 有 AppStore App 的 进程 间 通 信 都 失效 了 。RocketBootstrap 应 运 而 生 ， 它 既 破 除了 上 
面 提 到 的 访问 限制 ， 又 较 好 地 保留 了 沙 箱 的 防护 。 向 RocketBootstrap 注 册 的 服务 可 以 被 全 系统 进程 访问 ， 包 括 那些 沙 箱 限制 非常 严格 的 进程 ; RocketBootstrap 是 一 个 单独 的 程序 ， 随 着 苹果 限制 规则 的 
变化 ， 我 会 不 断 调整 RocketBootstrap 的 代码 使 其 能 够 正常 运行 。) 


Ryan Petrich 


编写 tweak 一 一 新 时 代 的 hacking 


l am not a prolific programmer by any means.| have a programmer’ s mind,and | have proven in my days | am capable of writing working solutions.| have a few tweaks in my 
name,and more ideas to be realized.Creating more has been about having тоге free time.However,my time has been spent becoming familiar with iOS-internals,because | find that | am a 
good learner.l have a fair understanding due to the tools we have available,made by great programmers before our time,and from documentation and examples shared by the 
community.Because of the nature of Cocoa and Objective-C,we can take a great adventure and introspection into the workings of third-party software,and Apple’ s operating system.This 
provides a foundation and skills for making tweaks.We want to encourage tweak making because it has been the driving initiative behind the audience that wants to have jailbroken 
devices, besides for the groups that wish to only have a jailbreak for pirating apps and games.The growth of this jailbreak ecosystem has gone with the proliferation of new tweaks,ever 


pushing the boundaries of modification while maintaining a safe environment for the end-users. 


The jailbreak development scene has given a unique opportunity to developers to express themselves in a new way.In the days before CydiaSubstrate,apps and games were not 
tweaked. This is a new concept;examining and debugging existing software and then rewriting portions of it with the least invasive tools available,the changes are nonpermanent and for 
the most part free of worry for breaking something with any lasting effect.Tweaks allow for a redefining of how software works and behaves.We do this with tweaks,and there has really 


been nothing like it before in the world of programming,even on the PC.There were opportunities throughout previous decades to make game patches,hacks and so forth,but it’ s only 


with the emergence of the audience of jailbreakers and iOS that we find our unique situation.Only recently has it become feasible to make small adjustments to existing UI and modify 


how things work without requiring the replacement of whole parts of the code-CydiaSubstrate allows careful targeting of methods and functions. 


It’ sa lot of fun to discover how things work,and tweak making is the embodiment of that fun time for developers.One of the challenges for tweak making is coming up with new 
ideas to create,and sometimes these ideas only arise after studying the internals in some detail.lf you make tweaks as a hobby,and not as a profession,you’ re free to do as you wish and 
to focus on projects that interest you.For new tweak makers,there’ re quite a lot of existing projects to learn from,but a lot of the easier projects have already been realized.Creating new 
original ideas that are unique is a task of being familiar with the available tweaks on Cydia,and then going to work discovering how the internal parts work,debugging and testing until you 


have a diagram or picture in your mind how it’ s put together.When you reach a near complete understanding,you are primed to tackle whatever challenge you make for yourself. 


Some of our greatest tools and resources are free: Apple’ s own documentation is excellent,and for tweak makers we have a wiki and the opportunity to use class-dump to examine 
what methods are exposed for hooking inside the target app or process.Debugging and disassembly tools that vary from free to paid,all can be great assets for tweak makers.A well- 
studied programmer with some prior experience with standard projects will be in a good position to continue learning from these materials.To the contrary,a newcomer programmer,even 
a person with some good ideas will struggle at first with the learning curve.We recommend a core understanding of Objective-C and Cocoa principles for aspiring young tweak makers;this 
can be a significant investment of time,but it is really a hurdle for new tweak makers that haven’ t a clue where to start.To the uninitiated,the object-oriented nature of the programming 
involved can be a daunting thing to realize.Generating tweak ideas can be a task for amateurs,but the writing of the code for the tweak implementation is often the result of planning and 
research and testing for a significant time.We find that many young new programmers are impatient because their ideas for new tweaks do take more time to materialize than they were 


willing to invest.Patience is a virtue of course,and the best-made tweaks are all products of careful programmers. 


The greatest tweak is Activator(libactivator).Based on a commonsense idea of having more triggers system-wide,activator is also a graciously open-sourced project;the product of many 
months and years of work by our most senior tweak maker,Ryan Petrich.His dedication and expertise shines through in Activator,which doubles as a platform for third-parties to harness 
the powerful triggers from anyplace to use in their own projects.It represents a lot of research and understanding of the most obscure internals on iOS: SpringBoard and backboard.If 
there is one shining example to point to as a goal for a tweak maker to show how much research and careful planning can go into a tweak,that is the example to look towards.It' s a lofty 
project that none should consider as being trivial to do,however.For some aspiring developers it can be a great encouragement to see what is possible.Kudos to Ryan Petrich for making 


it,and for all he does to further the jailbreak development community. 


As the repo maintainer for TheBigBoss,| have a job description for myself.Doing my job has given tremendous opportunity to be an influence or guidance for new tweak makers.Often 
their first experience with another member of the jailbreak development community is with myself when they first contact me or submit to the repo.We wish that all developers can be 
involved in the social channels of this scene: chat,forums,twitter et al,however,it' s not uncommon that some developers work in relative isolation from these social groups.My 
involvement then can be seen as important: | may be the only other voice that the programmer will hear,and | will give an opinion on the technical merits of new tweak projects;often this 
first encounter is invaluable because those developers that work in isolation are not wise to many of the caveats and conventions we hold as important in this community.Our 
documentation and wikis have improved to make these details more available,but still | am often the first time a developer has some interaction with someone with a greater expertise 
than their own.l try to give my wisdom and guidance to the developers because its in our best interest to support,if not groom,newcomer developers so they feel as part of the group of 
jailbreak developers,and they can be pointed towards ways to avoid some of the pitfalls that many newcomers make.| take some pride in doing this and helping in part to strengthen the 
developer community that is based around the tweak-making culture.| want the jailbreak platform to continue to grow and mature by the great ideas that are envisioned and the 


expertise to realize them. 


Do not be discouraged when the task seems difficult. We have some developers with years and decades of programming experience,and we also have some with only a few weeks or 
months.| come from the school of thought that it should be well made and well tested,and not rushed or forced.If you have a goal,it should not be merely to have something of yours 
published on a Cydia repo,but to give something to the public,which will enrich their jailbreak experiences-that is for hobbyists like myself.If you have some commercial interest in 
Cydia,and for making an selling tweaks,do wide testing with users and alongside other tweaks to help assure a product that works for many users and their combinations of tweaks;your 


duty as a responsible tweak maker is to be careful while you modify the insides of others’ programs or apps,and to be thorough in testing compatibility with others’ tweaks. 


Tweak making is the new-age hacking.There' re already enough reasons for you to get started with tweak development,and we need tweaks to keep the jailbreak community in 


bloom Join us,learn from others,work hard,be patient,and have fun. 


(怎么 说 我 都 不 算是 一 个 高 产 的 程序 员 ， 不 过 我 的 思维 方式 完全 是 程序 员 式 的 ， 因 为 在 写 程序 时 ， 我 已 经 证 明了 自己 具备 解决 问题 的 能 力 。 虽 然 我 以 个 人 开发 者 的 身份 发 布 了 几 款 tweak， 但 是 还 有 很 
多 想法 没 来 得 及 实现 ， 因 为 我 的 时 间 大 都 花 在 研究 ijOS 内 部 构造 上 了 ， 而 且 作品 越 多 ， 意 味 着 花 在 它们 上 面 的 时 间 就 越 多 ， 所 以 …… 


通过 使 用 前 辈 们 创造 的 分 析 工具 ， 参 考 iOS 社 区 共享 的 文档 和 例子 ， 我 对 iOs 的 了 解 还 算 深入 。 因 为 Cocoa 和 Objective-C 语 言 的 本 质 ， 我 们 有 机 会 观察 分 析 iOS 及 其 软件 的 工作 原理 ， 这 些 都 是 编写 
tweak 的 先决 条 件 。 很 多 越狱 iOS 用 户 越狱 自己 设备 的 根本 原因 就 是 要 安装 那些 方便 好 用 的 tweak， 这 也 是 我 们 鼓励 OS 程序 员 来 研究 /开发 tweak 的 原因 之 一 ， 而 绝 不 是 为 了 安装 盗版 软件 。 随 着 新 tweak 的 
出 现 ， 这 种 越狱 生态 系统 也 在 不 断 鞍 勃发 展 ， 同 时 也 促成 iOS 上 发 生 越 来 越 多 的 改变 。 


< 


在 传统 AppStore 开 发 之 外 ， 越 狱 开发 提供 了 一 种 非常 独特 的 方式 让 开发 者 们 表达 自己 的 想法 。 在 CydiaSubstrate 出 现 之 前 ，tweak 的 概念 十 分 抽象 ， 而 现在 它 已 经 有 了 非常 具体 的 定义 : 调试 分 析 现 有 
的 软件 ， 然 后 重 写 它 的 某 个 部 分 ， 并 尽 可 能 减 小 对 其 他 部 分 的 影响 。 重 写 所 造成 的 改变 并 不 是 永久 的 ， 即 使 这 种 改变 破坏 了 原 有 软件 ， 也 可 以 很 方便 地 修复 。 用 一 句 话 概括 就 是 : tweak 重 新 定义 了 软件 的 
功能 。 在 编程 的 历史 中 ， 这 种 概念 前 所 未 有 。 在 过 去 ， 做 游戏 修改 器 、 给 软件 打 补 丁 是 很 常见 的 现象 ， 但 随 着 iOS 和 越狱 平台 的 出 现 ， 借 助 CydiaSubstrate 的 力量 ,我 们 可 以 把 对 软件 的 修改 精确 到 函数 级 
别 ， 这 是 越狱 开发 的 一 大 特色 。 


^ 


探索 事物 的 工作 原理 是 一 件 充满 乐趣 的 事情 ， 开 发 者 编写 tweak 就 是 一 例 。 在 编写 tweak 之 前 ， 我 们 最 先 面 对 的 挑战 就 是 寻找 灵感 ， 而 灵感 往往 是 在 对 iOS 进 行 重重 分 析 之 后 才 产 生 的 。 初 学 者 可 以 从 很 
多 现成 开源 工程 中 学 习 ， 但 很 多 简单 的 想法 都 已 得 到 实现 。 如 果 想 要 原创 tweak， 那 么 首先 你 要 熟悉 Cydia 上 现 有 的 tweak， 然 后 分 析 它 们 的 实现 方法 ， 直 到 理 清 所 有 逻辑 ， 并 且 有 把 握 编写 相同 功能 的 
tweak。 不 断 地 重复 这 个 过 程 ， 等 你 熟悉 这 个 套路 之 后 ， 也 就 基本 具备 把 灵感 变 成 tweak 的 能 力 了 。 


投入 到 iOS 越 狱 开发 并 不 是 一 件 很 无 助 的 事情 ， 因 为 许多 最 常用 的 工具 和 资源 都 是 免费 的 : Apple 官 方 文档 编写 十 分 详尽 ，iphonedevwiki 上 有 很 多 有 价值 的 信息 ，class-dump 可 以 导出 详尽 的 头 信 
息 。 而 且 调 试 和 反 汇 编 工具 也 有 免费 的 ， 如 IDA demo 和 LLDB， 这 些 都 是 编写 tweak 的 利器 。 一 名 合格 的 AppStore 开 发 者 完全 可 以 从 这 个 角度 入 手 ， 开 始 越狱 开发 之 路 ， 不 过 如 果 是 一 名 纯 菜鸟 ， 你 的 日 了 
可 能 就 不 那么 好 过 了 ， 我 建议 你 先 完整 学 习 Objective-C 和 Cocoa 的 概念 及 原理 ， 之 后 再 考虑 进入 越狱 开发 这 个 领域 。 虽 然 前 期 的 概念 学 习 过 程 需要 花费 较 长 时 间 ， 但 这 是 新 手 必 须 迈 过 的 坎 。 小 小 提醒 : 
Objective-C 语 言 的 面向 对 象 特性 可 不 是 那么 好 懂 的 。 虽 然 tweak 的 创意 构思 不 设 门 覆 ， 普 通用 户 即 可 轻松 完成 ， 但 实现 的 过 程 却 需要 程序 员 投入 大 量 时 间 。 在 这 些 年 的 经 历 中 ， 我 发 现 很 多 初学 者 都 不 够 而 
心 ， 他 们 有 很 好 的 想法 ， 但 是 太 急于 求 成 ， 一 旦 发 现 完成 tweak 所 需 的 时 间 多 于 预期 ， 就 打 退 堂 哉 了。 殊不知 ，Cydia 中 最 出 色 的 tweak， 往 往 都 是 由 那些 有 耐心 、 能 坚持 的 开发 者 完成 的 。 


比如 Activator， 它 是 迄今 为 止 我 眼中 当之无愧 的 tweak 界 无 时 之 王 ， 但 它 的 创意 并 不 高 深 ,， 就 是 把 常见 的 手势 使 用 范围 扩展 至 全 系统 (rpetrich 不 仅 将 它 开源 ， 还 为 第 三 方 应 用 提供 了 接口 ， 大 将 风范 
展露 无 疑 ) 。 虽 然 这 个 概念 看 似 每 个 :OS 用 户 都 想得到 ， 但 Activator 是 iOS 越 狱 社区 最 顶尖 的 开发 者 之 一 rpetrich 经 年 累 月 完成 的 作品 ， 凝 结 了 他 智慧 的 结晶 ， 难 度 可 想 而 知 。Activator 钨 含 rpetrich 对 iOS 
中 最 星 涩 的 SpringBoard 和 backboard 的 深入 研究 ， 如 果 一 个 tweak 开 发 者 想 要 拿 一 个 tweak 作 为 自己 努力 的 终极 目标 ， 那 么 Activator 再 合适 不 过 了 。 干 万 不 要 以 为 Activator 完 成 的 工作 难度 不 大 ， 如 果 你 
觉得 自己 足够 强 ， 可 以 试 试 看 能 不 能 写 出 同样 功能 的 tweak。 在 此 向 rpetrich 致 敬 ! 


作为 TheBigBoss 源 的 管理 员 ， 简 单 地 说 ， 我 的 工作 是 积极 影响 、 向 上 引导 初学 者 。 对 于 这 些 人 来 说 ， 我 往往 是 他 们 进入 越狱 开发 社区 后 碰 到 的 第 一 个 圈 内 人 。 我 希望 所 有 越狱 开发 者 都 能 通过 各 种 渠 
道 ， 比 如 聊天 工具 、 论 坛 、 微 博 等 ， 进 行 交流 ， 但 很 多 情况 下 还 是 有 些 开 发 者 不 善 交流 ， 独 自 工作 ， 而 这 时 我 的 作用 就 凸显 出 来 了 : 他 们 往 TheBigBoss 源 提交 作品 ， 就 必须 跟 我 交流 ， 而 我 也 会 从 技术 角度 


评价 他 们 tweak 的 优 劣 。 他 们 或 许 不 熟悉 这 个 圈子 的 各 种 规则 ， 于 是 我 就 会 对 他 们 进行 科普 ， 让 他 们 少 走 些 弯 路 。 我 愿意 尽 可 能 向 他 们 提供 帮助 ， 让 他 们 感觉 自己 是 这 个 大 圈子 中 的 一 员 。 我 为 自己 的 所 作 
所 为 感到 骄傲 ， 因 为 我 为 越狱 社区 的 文化 建设 贡献 了 一 份 力量 。 我 囊 心 希望 越狱 社区 能 莲 勃 发 展 ， 各 种 创意 层出不穷 ， 各 类 人 才 百 花 齐 放 。 


当 你 碰 到 难题 时 ， 不 要 气 饰 。 在 越狱 社区 里 ， 有 些 程序 员 已 身 经 百 战 ， 也 有 些 才刚 刚 上 路 ,不 管 你 属于 哪 一 类 ， 都 应 该 以 严肃 、 认 真 、 负 责 的 态度 对 待 自己 的 作品 ， 水 到 方 能 渠 成 ， 拒 苗 焉 能 助长 ? 你 
要 设立 的 目标 不 应 仅仅 是 在 Cydia 上 发 布什 么 软件 ， 而 是 分 享 你 的 经 验 ， 让 大 家 受益 于 此 。 当 然 ， 这 是 站 在 非 商 业 角度 来 说 的 。 如 果 你 想 要 靠 卖 Cydia 软 件 赚钱 ， 就 尽 可 能 广泛 地 测试 你 的 软件 ， 确 保 它 能 正 
常 工作 。 作 为 一 个 负责 任 的 tweak 开 发 者 ， 你 要 记 住 ， 你 是 在 改动 别人 的 软件 ， 还 要 和 其 他 的 tweak 兼 容 ， 所 以 要 慎之 又 慎 。 


tweak 开 发 是 新 时 代 的 hacking。 你 已 有 足够 的 理由 来 说 服 自己 加 入 tweak 开 发 的 大 部 队 ， 越 狱 社 区 也 需要 tweak 来 保持 旺盛 的 生命 力 。 加 入 我 们 ， 从 中 学 习 ， 好 好 努力 ， 保 持 耐 心 ， 你 一 定 会 感到 由 囊 
的 快乐 。) 
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